Coletar registros de detecções do Trend Micro Vision One

Compatível com:

Este documento explica como ingerir registros de detecções do Trend Micro Vision One no Google Security Operations usando o AWS S3. O analisador transforma os registros de detecção do Trend Micro Vision One do formato JSON em um modelo de dados unificado (UDM).

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado ao Trend Micro Vision One

Configurar o Logging no Trend Micro Vision One

  1. Faça login no console do Trend Micro Vision One.
  2. Acesse Fluxo de trabalho e Automation > Integração de terceiros.
  3. Clique em SIEM do Google Security Operations.
  4. Em Chave de acesso, clique em Gerar chave.
  5. Copie e salve o ID da chave de acesso e a chave de acesso secreta.
  6. Em Transferência de dados, ative a opção ao lado de Dados de detecções.
  7. Um URI do S3 é gerado, e os dados começam a ser enviados para o bucket do S3 correspondente.
  8. Copie e salve o URL do S3 para usar mais tarde.

Configurar feeds

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Trend Micro Vision One Detections Logs).
  5. Selecione Amazon S3 V2 como o Tipo de origem.
  6. Selecione Detecções do Trend Micro Vision One como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do S3: o URI do bucket. O formato precisa ser s3://log-bucket-name/. Substitua o seguinte:
      • log-bucket-name: o nome do bucket
    • Opções de exclusão de origem: selecione Nunca excluir arquivos. Os dados no bucket do S3 são mantidos por sete dias antes de serem excluídos.
    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
    • ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
    • Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.