Trend Micro Vision One-Container-Sicherheitslückenlogs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Trend Micro Vision One Container Vulnerability-Logs mit AWS S3 in Google Security Operations aufnehmen. Der Parser wandelt Trend Micro Vision One Container Vulnerability-Logs vom JSON-Format in ein einheitliches Datenmodell (Unified Data Model, UDM) um.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf Trend Micro Vision One

Logging in Trend Micro Vision One konfigurieren

  1. Melden Sie sich in der Trend Micro Vision One-Konsole an.
  2. Gehen Sie zu Workflow und Automatisierung > Integration von Drittanbietern.
  3. Klicken Sie auf Google Security Operations SIEM.
  4. Klicken Sie unter Zugriffsschlüssel auf Schlüssel generieren.
  5. Kopieren und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel.
  6. Aktivieren Sie unter Datenübertragung den Schalter neben Container Vulnerability Data (Daten zu Sicherheitslücken in Containern).
  7. Ein S3-URI wird generiert und die Daten werden an den entsprechenden S3-Bucket gesendet.
  8. Kopieren und speichern Sie die S3-URL zur späteren Verwendung.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name einen Namen für den Feed ein, z. B. Trend Micro Vision One Container Vulnerability Logs.
  5. Wählen Sie Amazon S3 als Quelltyp aus.
  6. Wählen Sie Trend Micro Vision One Container Vulnerability als Log type (Logtyp) aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Region: Die Region, in der sich der Amazon S3-Bucket befindet.
    • S3-URI: Der Bucket-URI (das Format sollte s3://log-bucket-name/ sein). Ersetzen Sie Folgendes:
      • log-bucket-name: der Name des Buckets.
    • URI ist ein: Wählen Sie Verzeichnis oder Verzeichnis mit Unterverzeichnissen aus.
    • Optionen zum Löschen von Quellen: Wählen Sie Dateien nie löschen aus. Daten im S3-Bucket werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden.
    • Zugriffsschlüssel-ID: Zugriffsschlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Geheimer Nutzersicherheitsschlüssel mit Zugriff auf den S3-Bucket.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten