Trend Micro Vision One-Aktivitätsprotokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Trend Micro Vision One-Aktivitätslogs mit AWS S3 in Google Security Operations aufnehmen. Der Parser wandelt Trend Micro Vision One-Aktivitätslogs vom JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf Trend Micro Vision One.

Logging in Trend Micro Vision One konfigurieren

  1. Melden Sie sich in der Trend Micro Vision One-Konsole an.
  2. Gehen Sie zu Workflow und Automatisierung > Integration von Drittanbietern.
  3. Klicken Sie auf Google Security Operations SIEM.
  4. Klicken Sie unter „Zugriffsschlüssel“ auf Schlüssel generieren.
  5. Kopieren und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel.
  6. Aktivieren Sie unter „Datenübertragung“ die Ein/Aus-Schaltfläche neben Aktivitätsdaten.
  7. Ein S3-URI wird generiert und die Daten werden an den entsprechenden S3-Bucket gesendet.
  8. Kopieren Sie den S3-URI und speichern Sie ihn an einem sicheren Ort.
  9. Optional: Klicken Sie für Ereignis- und Aktivitätsdaten auf Bearbeiten, um den Umfang der Daten zu ändern. Durch das Ändern des Umfangs wird der generierte S3-URI nicht geändert.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. „Trend Micro Vision One Activity Logs“.
  5. Wählen Sie Amazon S3 V2 als Quelltyp aus.
  6. Wählen Sie Trend Micro Vision One Activity als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein). Ersetzen Sie Folgendes:
      • log-bucket-name: der Name des Buckets. .
    • Optionen zum Löschen von Quellen: Wählen Sie Dateien nie löschen aus. Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
    • Maximales Dateialter: Enthält Dateien, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.
    • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Geheimer Zugriffsschlüssel: Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten