Coletar registros do Trend Micro Vision One

Compatível com:

Este documento explica como coletar registros do Trend Micro Vision One configurando um feed do Google Security Operations. O analisador envia alertas, dados de eventos, vulnerabilidades de contêineres, dados de atividade e registros de auditoria para buckets do AWS S3 gerenciados pela Trend Micro. O Google SecOps recupera esses dados usando feeds de dados aproximadamente a cada 15 minutos. Os dados não recuperados nos buckets do S3 são mantidos por sete dias antes de serem excluídos.

É possível criar vários feeds no Google SecOps e configurar os dados obtidos usando os feeds individualmente.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado ao Trend Micro Vision One.

Configurar a exportação de dados do Trend Vision One para o Google SecOps

  1. No console do Trend Vision One, gere a chave de acesso e especifique os dados a serem enviados ao Google SecOps.
  2. Acesse Fluxo de trabalho e Automation > Integração de terceiros.
  3. Na coluna Integração, clique em Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave para gerar o ID da chave de acesso e a chave de acesso secreta. Salve o ID da chave de acesso e a chave de acesso secreta para uso posterior.
  5. Em Transferência de dados, ative o botão ao lado dos dados que você quer enviar para buckets do S3. Sempre que uma transferência de dados é ativada, um URI do S3 é gerado, e os dados começam a ser enviados para o bucket do S3 correspondente. Copie e armazene o URI do S3 para uso posterior.
  6. Em Eventos e Dados de atividade, clique em Editar para modificar o escopo dos dados.
  7. Para interromper o envio de um tipo de dado ao Google SecOps, desative a opção ao lado dele. Ao reativar a transferência de dados, um novo URI do S3 é gerado. Você precisa configurar um novo feed no Google SecOps.

Configurar um feed no Google SecOps para ingerir os registros do Trend Micro Vision One

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed, por exemplo, Trend Micro Vision One Workbench Logs.
  4. Selecione Amazon S3 como o Tipo de origem.
  5. Selecione os dados do Trend Vision One que você quer que o Google SecOps ingira como o Tipo de registro. As opções disponíveis incluem:
    • Trend Micro Vision One (em inglês)
    • Atividade do Trend Micro Vision One
    • Auditoria do Trend Micro Vision One
    • Vulnerabilidades de contêiner do Trend Micro Vision One
    • Detecções do Trend Micro Vision One
    • Técnicas de ataque observadas do Trend Micro Vision One
    • Trend Micro Vision One Workbench (em inglês)
  6. Clique em Próxima.
  7. Especifique valores para os seguintes parâmetros de entrada:
    • Região: selecione Detectar automaticamente.
    • URI do S3: insira o URI do S3 obtido na seção anterior.
    • O URI é um: selecione Diretório que inclui subdiretórios.
    • Opções de exclusão de origem: selecione Nunca excluir arquivos.
    • ID da chave de acesso: insira a chave de acesso do usuário obtida na seção anterior.
    • Chave de acesso secreta: insira a chave secreta do usuário com acesso ao bucket do S3 obtida na seção anterior.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Repita esse processo para adicionar vários feeds para todos os tipos de dados do Trend Vision One que você quer ingerir no Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.