Raccogliere i log di Trend Micro Vision One Workbench

Supportato in:

Questo documento spiega come importare i log di Trend Micro Vision One Workbench in Google Security Operations utilizzando AWS S3. Il parser trasforma i log di Trend Micro Vision One Workbench dal formato JSON in un modello di dati unificato (UDM).

Prima di iniziare

  • Istanza Google SecOps
  • Accesso privilegiato a Trend Micro Vision One

Configurare il logging su Trend Micro Vision One

  1. Accedi alla console Trend Micro Vision One.
  2. Vai a Flusso di lavoro e Automation > Integrazione di terze parti.
  3. Fai clic su Google Security Operations SIEM.
  4. In Chiave di accesso, fai clic su Genera chiave.
  5. Copia e salva l'ID chiave di accesso e la chiave di accesso segreta.
  6. In Trasferimento dati, attiva l'opzione di attivazione/disattivazione accanto a Dati di Workbench.
  7. Viene generato un URI S3 e i dati iniziano a essere inviati al bucket S3 corrispondente.
  8. Copia e salva l'URL S3 per utilizzarlo in un secondo momento.

Configurare i feed

Esistono due diversi punti di contatto per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Content Hub > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Trend Micro Vision One Workbench Logs).
  5. Seleziona Amazon S3 come Tipo di origine.
  6. Seleziona Trend Micro Vision One Workbench come Tipo di log.
  7. Fai clic su Avanti.
  8. Specifica i valori per i seguenti parametri di input:

    • Regione: la regione in cui si trova il bucket Amazon S3.
    • URI S3: l'URI del bucket (il formato deve essere: s3://log-bucket-name/). Sostituisci quanto segue:
      • log-bucket-name: il nome del bucket.
    • L'URI è una: seleziona Directory o Directory che include sottodirectory.
    • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file. I dati nel bucket S3 vengono conservati per 7 giorni prima di essere eliminati.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Configurare i feed da Content Hub

Specifica i valori per i seguenti campi:

  • Regione: la regione in cui si trova il bucket Amazon S3.
  • URI S3: l'URI del bucket (il formato deve essere: s3://log-bucket-name/). Sostituisci quanto segue:
    • log-bucket-name: il nome del bucket.
  • L'URI è una: seleziona Directory o Directory che include sottodirectory.
  • Opzioni di eliminazione dell'origine: seleziona Non cancellare mai i file. I dati nel bucket S3 vengono conservati per 7 giorni prima di essere eliminati.
  • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
  • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: le etichette applicate a tutti gli eventi di questo feed.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.