Collecter les journaux de failles de conteneurs Trend Micro Vision One

Compatible avec :

Ce document explique comment ingérer les journaux de vulnérabilité des conteneurs Trend Micro Vision One dans Google Security Operations à l'aide d'AWS S3. L'analyseur transforme les journaux de vulnérabilité des conteneurs Trend Micro Vision One du format JSON en modèle de données unifié (UDM).

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Accès privilégié à Trend Micro Vision One

Configurer la journalisation sur Trend Micro Vision One

  1. Connectez-vous à la console Trend Micro Vision One.
  2. Accédez à Workflow and Automation > Third-Party Integration (Workflow et automatisation > Intégration tierce).
  3. Cliquez sur Google Security Operations SIEM.
  4. Sous Clé d'accès, cliquez sur Générer une clé.
  5. Copiez et enregistrez l'ID de clé d'accès et la clé d'accès secrète.
  6. Sous Transfert de données, activez l'option Données sur les failles des conteneurs.
  7. Un URI S3 est généré et les données commencent à être envoyées au bucket S3 correspondant.
  8. Copiez et enregistrez l'URL S3 pour l'utiliser ultérieurement.

Configurer des flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Trend Micro Vision One Container Vulnerability Logs).
  5. Sélectionnez Amazon S3 V2 comme type de source.
  6. Sélectionnez Trend Micro Vision One Container Vulnerability comme Type de journal.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI S3 : URI du bucket (au format s3://log-bucket-name/). Remplacez les éléments suivants :
      • log-bucket-name : nom du bucket.
    • Options de suppression de la source : sélectionnez Ne jamais supprimer les fichiers. Les données du bucket S3 sont conservées pendant sept jours avant d'être supprimées.
    • Âge maximal du fichier : inclut les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
    • ID de clé d'accès : clé d'accès utilisateur ayant accès au bucket S3.
    • Clé d'accès secrète : clé secrète de l'utilisateur ayant accès au bucket S3.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.