Trend Micro Vision One のログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを設定して Trend Micro Vision One のログを収集する方法について説明します。パーサーは、アラート、イベントデータ、コンテナの脆弱性、アクティビティ データ、監査ログを Trend Micro が管理する AWS S3 バケットにプッシュします。Google SecOps は、データフィードを使用してこのデータを約 15 分ごとに取得します。S3 バケット内の未取得データは、削除されるまで 7 日間保持されます。

Google SecOps で複数のフィードを作成し、フィードを使用して取得したデータを個別に構成できます。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • Trend Micro Vision One への特権アクセス権があることを確認します。

Trend Vision One のデータ エクスポートを Google SecOps に構成する

  1. Trend Vision One コンソールで、アクセスキーを生成し、Google SecOps に送信するデータを指定します。
  2. [Workflow and Automation] > [Third-Party Integration] に移動します。
  3. [統合] 列で、[Google Security Operations] をクリックします。
  4. [アクセスキー] で、[キーを生成] をクリックして、アクセスキー ID とシークレット アクセスキーを生成します。後で使用できるように、アクセスキー ID とシークレット アクセスキーを保存します。
  5. [データ転送] で、S3 バケットに送信するデータの横にある切り替えボタンをオンにします。データ転送が有効になるたびに、S3 URI が生成され、対応する S3 バケットへのデータの送信が開始されます。後で使用できるように、S3 URI をコピーして保存します。
  6. [イベント] と [アクティビティ データ] で、[編集] をクリックしてデータの範囲を変更します。
  7. 特定の種類のデータを Google SecOps への送信を停止するには、そのデータの横にある切り替えボタンをオフにします。データ転送を再度有効にすると、新しい S3 URI が生成されます。Google SecOps で新しいフィードを構成する必要があります。

Trend Micro Vision One のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前(例: Trend Micro Vision One Workbench Logs)を入力します。
  4. [ソースタイプ] として [Amazon S3] を選択します。
  5. Google SecOps に取り込む Trend Vision One データを [ログタイプ] として選択します。使用できるオプションは次のとおりです。
    • Trend Micro Vision One
    • Trend Micro Vision One アクティビティ
    • Trend Micro Vision One 監査
    • Trend Micro Vision One コンテナの脆弱性
    • Trend Micro Vision One の検出結果
    • Trend Micro Vision One で確認された攻撃手法
    • Trend Micro Vision One Workbench
  6. [次へ] をクリックします。
  7. 次の入力パラメータの値を指定します。
    • リージョン: [自動検出] を選択します。
    • S3 URI: 前のセクションで取得した S3 URI を入力します。
    • URI is a: [サブディレクトリを含むディレクトリ] を選択します。
    • ソース削除オプション: [ファイルを削除しない] を選択します。
    • アクセスキー ID: 前のセクションで取得したユーザー アクセスキーを入力します。
    • シークレット アクセスキー: 前のセクションで取得した S3 バケットにアクセスできるユーザーのシークレット キーを入力します。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

このプロセスを繰り返して、Google SecOps に取り込むすべての Trend Vision One データ型の複数のフィードを追加します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。