Collecter les journaux d'activité Trend Micro Vision One

Compatible avec:

Ce document explique comment ingérer les journaux d'activité Trend Micro Vision One dans Google Security Operations à l'aide d'AWS S3. L'analyseur transforme les journaux d'activité Trend Micro Vision One au format JSON en modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Accès privilégié à Trend Micro Vision One.

Configurer la journalisation sur Trend Micro Vision One

  1. Connectez-vous à la console Trend Micro Vision One.
  2. Accédez à Workflow and Automation > Third-Party Integration (Workflow et automatisation > Intégration tierce).
  3. Cliquez sur Google Security Operations SIEM.
  4. Sous "Clé d'accès", cliquez sur Générer une clé.
  5. Copiez et enregistrez l'ID de clé d'accès et la clé d'accès secrète.
  6. Sous "Transfert de données", activez l'option à côté de Données d'activité.
  7. Un URI S3 est généré et les données commencent à être envoyées au bucket S3 correspondant.
  8. Copiez et enregistrez l'URI S3 dans un emplacement sécurisé.
  9. (Facultatif) Pour les données d'événements et d'activités, cliquez sur Modifier pour modifier la portée des données (la modification de la portée ne modifie pas l'URI S3 généré).

Configurer des flux

Il existe deux points d'entrée différents pour configurer des flux dans la plate-forme Google SecOps:

  • Paramètres du SIEM > Flux
  • Hub de contenu > Packs de contenu

Configurez les flux dans Paramètres du SIEM > Flux.

Pour configurer un flux, procédez comme suit:

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter un flux.
  3. Sur la page suivante, cliquez sur Configurer un flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, "Journaux d'activité Trend Micro Vision One").
  5. Sélectionnez Amazon S3 comme Type de source.
  6. Sélectionnez Activité Trend Micro Vision One comme type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • Région: région dans laquelle se trouve le bucket Amazon S3.
    • URI S3 : URI du bucket (au format s3://log-bucket-name/). remplacez les éléments suivants :
      • log-bucket-name : nom du bucket.
    • Un URI est: sélectionnez Répertoire ou Répertoire incluant des sous-répertoires.
    • Options de suppression de la source: sélectionnez Ne jamais supprimer les fichiers. Les données du bucket S3 sont conservées pendant sept jours avant d'être supprimées.
    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Centre de contenu

Indiquez les valeurs des champs suivants:

  • Région: région dans laquelle se trouve le bucket Amazon S3.
    • URI S3 : URI du bucket (au format s3://log-bucket-name/). remplacez les éléments suivants :
      • log-bucket-name : nom du bucket.
    • Un URI est: sélectionnez Répertoire ou Répertoire incluant des sous-répertoires.
    • Options de suppression de la source: sélectionnez Ne jamais supprimer les fichiers. Les données du bucket S3 sont conservées pendant sept jours avant d'être supprimées.
    • ID de clé d'accès: clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète: clé secrète de l'utilisateur ayant accès au bucket S3.

Options avancées

  • Nom du flux: valeur préremplie qui identifie le flux.
  • Source Type (Type de source) : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'asset: espace de noms associé au flux.
  • Libellés d'ingestion: libellés appliqués à tous les événements de ce flux.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.