Coletar registros do Trend Micro Vision One

Compatível com:

Este documento explica como coletar registros do Trend Micro Vision One configurando um feed do Google Security Operations. O analisador envia alertas, dados de eventos, vulnerabilidades de contêineres, dados de atividade e registros de auditoria para buckets do AWS S3 gerenciados pela Trend Micro. O Google SecOps recupera esses dados usando feeds de dados aproximadamente a cada 15 minutos. Os dados não recuperados nos buckets do S3 são mantidos por sete dias antes de serem excluídos.

É possível criar vários feeds no Google SecOps e configurar os dados recebidos usando os feeds individualmente.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Trend Micro Vision One.

Configurar a exportação de dados do Trend Vision One para o Google SecOps

  1. No console do Trend Vision One, gere a chave de acesso e especifique os dados a serem enviados ao Google SecOps.
  2. Acesse Fluxo de trabalho e automação > Integração de terceiros.
  3. Na coluna Integração, clique em Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave para gerar o ID da chave de acesso e a chave de acesso secreta. Salve o ID da chave de acesso e a chave de acesso secreta para uso posterior.
  5. Em Transferência de dados, ative a chave ao lado dos dados que você quer enviar para os buckets do S3. Sempre que uma transferência de dados é ativada, um URI do S3 é gerado e os dados começam a ser enviados para o bucket do S3 correspondente. Copie e armazene o URI do S3 para uso posterior.
  6. Para Eventos e Dados de atividades, clique em Editar para modificar o escopo dos dados.
  7. Para interromper o envio de um tipo de dados para o Google SecOps, desative a chave ao lado dos dados. A reativação da transferência de dados gera um novo URI do S3. Você precisa configurar um novo feed no Google SecOps.

Configurar um feed no Google SecOps para processar os registros do Trend Micro Vision One

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed, por exemplo, Trend Micro Vision One Workbench Logs.
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione os dados do Trend Vision One que você quer que o Google SecOps ingira como Tipo de registro. As opções disponíveis incluem:
    • Trend Micro Vision One
    • Atividade da Trend Micro Vision One
    • Trend Micro Vision One Audit
    • Vulnerabilidades do contêiner do Trend Micro Vision One
    • Deteções do Trend Micro Vision One
    • Técnicas de ataque observadas no Trend Micro Vision One
    • Trend Micro Vision One Workbench
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Região: selecione Detectar automaticamente.
    • URI do S3: insira o URI do S3 que você recebeu na seção anterior.
    • O URI é um: selecione Diretório que inclui subdiretórios.
    • Opções de exclusão da origem: selecione Nunca excluir arquivos.
    • ID da chave de acesso: insira a chave de acesso do usuário obtida na seção anterior.
    • Chave de acesso secreta: insira a chave secreta do usuário com acesso ao bucket do S3 que você coletou na seção anterior.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Repita esse processo para adicionar vários feeds para todos os tipos de dados do Trend Vision One que você quer transferir para o Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.