Coletar registros de detecção do Trend Micro Vision One

Compatível com:

Este documento explica como transferir os registros de detecção do Trend Micro Vision One para as operações de segurança do Google usando o AWS S3. O analisador transforma os registros de detecção do Trend Micro Vision One do formato JSON em um modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One

Configurar a geração de registros no Trend Micro Vision One

  1. Faça login no console do Trend Micro Vision One.
  2. Acesse Fluxo de trabalho e Automation > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e salve o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative a chave ao lado de Dados de detecção.
  7. Um URI do S3 é gerado, e os dados começam a ser enviados para o bucket do S3 correspondente.
  8. Copie e salve o URL do S3 para uso posterior.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Configurações do SIEM > Feeds
  • Hub de conteúdo > Pacotes de conteúdo

Configurar feeds em "Configurações do SIEM" > "Feeds"

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Trend Micro Vision One Detections Logs).
  5. Selecione Amazon S3 como o Tipo de origem.
  6. Selecione Trend Micro Vision One Detections como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket (o formato precisa ser s3://log-bucket-name/). Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de exclusão da origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por 7 dias antes de serem excluídos.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave de acesso secreta do usuário com acesso ao bucket do S3.

  9. Clique em Próxima.

  10. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Região: a região em que o bucket do Amazon S3 está localizado.
    • URI do S3: o URI do bucket (o formato precisa ser s3://log-bucket-name/). Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • URI é um: selecione Diretório ou Diretório que inclui subdiretórios.
    • Opções de exclusão da origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por 7 dias antes de serem excluídos.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave de acesso secreta do usuário com acesso ao bucket do S3.

Opções avançadas

  • Nome do feed: um valor preenchido automaticamente que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de transferência: rótulos aplicados a todos os eventos desse feed.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.