Aktivitätsprotokolle von Trend Micro Vision One erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Trend Micro Vision One-Aktivitätsprotokolle mit AWS S3 in Google Security Operations aufnehmen. Der Parser wandelt Trend Micro Vision One-Aktivitätsprotokolle aus dem JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Berechtigter Zugriff auf Trend Micro Vision One.

Logging in Trend Micro Vision One konfigurieren

  1. Melden Sie sich in der Trend Micro Vision One-Konsole an.
  2. Gehen Sie zu Workflow und Automatisierung > Integrationen von Drittanbietern.
  3. Klicken Sie auf Google Security Operations SIEM.
  4. Klicken Sie unter „Zugriffsschlüssel“ auf Schlüssel generieren.
  5. Kopieren und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel.
  6. Aktivieren Sie unter „Datenübertragung“ die Ein/Aus-Schaltfläche neben Aktivitätsdaten.
  7. Ein S3-URI wird generiert und die Daten werden an den entsprechenden S3-Bucket gesendet.
  8. Kopieren Sie den S3-URI und speichern Sie ihn an einem sicheren Ort.
  9. Optional: Klicken Sie bei Ereignis- und Aktivitätsdaten auf Bearbeiten, um den Umfang der Daten zu ändern. Durch die Änderung des Umfangs ändert sich nicht der generierte S3-URI.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds auf der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub > Content-Pakete

Feeds unter „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. „Trend Micro Vision One-Aktivitätsprotokolle“.
  5. Wählen Sie als Quelltyp Amazon S3 aus.
  6. Wählen Sie als Protokolltyp Trend Micro Vision One-Aktivität aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein). Replace the following:
      • log-bucket-name: der Name des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen der Quelle: Wählen Sie Dateien nie löschen aus. Die Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
    • Access Key ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key: Geheimer Nutzerschlüssel mit Zugriff auf den S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein). Replace the following:
      • log-bucket-name: der Name des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen der Quelle: Wählen Sie Dateien nie löschen aus. Die Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
    • Access Key ID: Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key: Geheimer Nutzerschlüssel mit Zugriff auf den S3-Bucket.

Erweiterte Optionen

  • Feedname: Ein vordefinierter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, mit der Protokolle in Google SecOps erfasst werden.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten