Coletar registros de vulnerabilidade de contêineres do Trend Micro Vision One

Compatível com:

Este documento explica como ingerir registros de vulnerabilidade de contêiner do Trend Micro Vision One no Google Security Operations usando o AWS S3. O analisador transforma os registros de vulnerabilidade de contêiner do Trend Micro Vision One do formato JSON em um modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One

Configurar o Logging no Trend Micro Vision One

  1. Faça login no console do Trend Micro Vision One.
  2. Acesse Fluxo de trabalho e Automation > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e salve o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative a opção ao lado de Dados de vulnerabilidade do contêiner.
  7. Um URI do S3 é gerado, e os dados começam a ser enviados para o bucket do S3 correspondente.
  8. Copie e salve o URL do S3 para usar mais tarde.

Configurar feeds

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Trend Micro Vision One Container Vulnerability Logs).
  5. Selecione Amazon S3 V2 como o Tipo de origem.
  6. Selecione Vulnerabilidade de contêiner do Trend Micro Vision One como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do S3: o URI do bucket. O formato precisa ser s3://log-bucket-name/. Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • Opções de exclusão de origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por sete dias antes de serem excluídos.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.