Recolha registos do Trend Micro Vision One

Compatível com:

Este documento explica como recolher registos do Trend Micro Vision One configurando um feed do Google Security Operations. O analisador envia alertas, dados de eventos, vulnerabilidades de contentores, dados de atividade e registos de auditoria para contentores do AWS S3 geridos pela Trend Micro. O Google SecOps obtém estes dados através de feeds de dados aproximadamente a cada 15 minutos. Os dados não obtidos nos contentores S3 são retidos durante 7 dias antes de serem limpos.

Pode criar vários feeds no Google SecOps e configurar os dados obtidos através dos feeds individualmente.

Antes de começar

  • Certifique-se de que tem uma instância do Google SecOps.
  • Certifique-se de que tem acesso privilegiado ao Trend Micro Vision One.

Configure a exportação de dados do Trend Vision One para o Google SecOps

  1. Na consola do Trend Vision One, gere a chave de acesso e especifique os dados a enviar para o Google SecOps.
  2. Aceda a Fluxo de trabalho e automatização > Integração de terceiros.
  3. Na coluna Integração, clique em Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave para gerar o ID da chave de acesso e a chave de acesso secreta. Guarde o ID da chave de acesso e a chave de acesso secreta para utilização posterior.
  5. Em Transferência de dados, ative o botão junto aos dados que quer enviar para os contentores do S3. Sempre que uma transferência de dados é ativada, é gerado um URI do S3 e os dados começam a ser enviados para o contentor do S3 correspondente. Copie e armazene o URI do S3 para utilização posterior.
  6. Para Eventos e Dados de atividade, clique em Editar para modificar o âmbito dos dados.
  7. Para parar de enviar um tipo de dados para o Google SecOps, desative o botão junto aos dados. A reativação da transferência de dados gera um novo URI do S3. Tem de configurar um novo feed no Google SecOps.

Configure um feed no Google SecOps para carregar os registos do Trend Micro Vision One

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, introduza um nome para o feed; por exemplo, Trend Micro Vision One Workbench Logs.
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione os dados do Trend Vision One que quer que o Google SecOps carregue como o Tipo de registo. As opções disponíveis incluem:
    • Trend Micro Vision One
    • Atividade do Trend Micro Vision One
    • Auditoria do Trend Micro Vision One
    • Trend Micro Vision One Container Vulnerabilities
    • Deteções do Trend Micro Vision One
    • Trend Micro Vision One Observed Attack Techniques
    • Trend Micro Vision One Workbench
  6. Clicar em Seguinte.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Região: selecione Detetar automaticamente
    • URI do S3: introduza o URI do S3 obtido na secção anterior.
    • O URI é um: selecione Diretório que inclui subdiretórios.
    • Opções de eliminação de origens: selecione Nunca eliminar ficheiros.
    • ID da chave de acesso: introduza a chave de acesso do utilizador obtida na secção anterior.
    • Chave de acesso secreta: introduza a chave secreta do utilizador com acesso ao contentor do S3 obtida na secção anterior.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Repita este processo para adicionar vários feeds para todos os tipos de dados do Trend Vision One que quer carregar para o Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.