Trend Micro Vision One の Observed Attack Techniques ログを収集する

以下でサポートされています。

このドキュメントでは、AWS S3 を使用して Trend Micro Vision One Observed Attack Techniques ログを Google Security Operations に取り込む方法について説明します。パーサーは、ログを JSON 形式から Unified Data Model(UDM)に変換します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Trend Micro Vision One への特権アクセス

Trend Micro Vision One でロギングを構成する

  1. Trend Micro Vision One コンソールにログインします。
  2. [Workflow and Automation] > [Third-Party Integration] に移動します。
  3. [Google Security Operations SIEM] をクリックします。
  4. [アクセスキー] で、[キーを生成] をクリックします。
  5. アクセスキー IDシークレット アクセスキーをコピーして保存します。
  6. [データ転送] で、[観測された攻撃手法] の横にある切り替えボタンを有効にします。
  7. S3 URI が生成され、対応する S3 バケットへのデータの送信が開始されます。
  8. 後で使用するために、S3 URL をコピーして保存します。

フィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Trend Micro Vision One Observed Attack Techniques Logs)。
  5. [ソースタイプ] として [Amazon S3 V2] を選択します。
  6. [ログタイプ] として [Trend Micro Vision One Observed Attack Techniques] を選択します。
  7. [次へ] をクリックします。

  8. 次の入力パラメータの値を指定します。

    • S3 URI: バケット URI(形式は s3://log-bucket-name/ にする必要があります)。 次の内容を置き換えます。
      • log-bucket-name: バケットの名前。
    • ソース削除オプション: [ファイルを削除しない] を選択します。S3 バケット内のデータは、削除されるまで 7 日間保持されます。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。

  9. [次へ] をクリックします。

  10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。