Google Security Operations SIEM-Integration

Prozedur

1. In der Trend Vision One-Konsole den Zugriffsschlüssel generieren und die Daten angeben, die an Google SecOps gesendet werden sollen.
   1. Navigieren Sie zu Workflow and Automation → Third-Party Integrations.
   2. Klicken Sie in der Spalte Integration auf Google Security Operations SIEM.
   3. Unter Access key klicken Sie auf Generate key, um die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zu generieren, die für die Daten-Feed-Konfiguration in Google SecOps verwendet werden.
   4. Unter Data transfer aktivieren Sie den Schalter neben den Daten, die Sie an S3-Buckets senden möchten.

      Hinweis Das Senden von Aktivitätsdaten an einen S3-Bucket erfordert Trend Vision One Credits. Konfigurieren Sie das Datenkontingent für die Übertragung von Aktivitätsdaten und verwalten Sie die Zuweisung von Credits in der App "Credits & Abrechnung".

      Weitere Informationen zum Datenformat und den Anforderungen finden Sie unter Datenspezifikation für AWS S3-Buckets.

      Wichtig Daten in S3-Buckets werden 7 Tage lang aufbewahrt, bevor sie gelöscht werden. Stellen Sie sicher, dass Ihre Google SecOps-Feeds ordnungsgemäß konfiguriert sind, um Daten von Trend Vision One zu übernehmen.

      Wann immer ein Datentransfer aktiviert ist, wird eine S3-URI generiert und die Daten beginnen, in den entsprechenden S3-Bucket gesendet zu werden. Kopieren und speichern Sie die S3-URI an einem sicheren Ort.
   5. Für Ereignisse und Activity data klicken Sie auf Bearbeiten, um den Umfang der Daten zu ändern.
      Das Ändern des Umfangs ändert nicht die generierte S3-URI.
   6. Um das Senden einer Art von Daten an Google SecOps zu stoppen, deaktivieren Sie den Schalter neben den Daten.
      Das erneute Aktivieren der Datenübertragung generiert eine neue S3-URI. Sie müssen einen neuen Feed in Google SecOps konfigurieren.
2. In Google SecOps konfigurieren Sie die SIEM-Einstellungen, indem Sie Feeds erstellen, um Daten aus AWS S3-Buckets abzurufen.
   1. Wählen Sie im Google SecOps-Menü Einstellungen aus und klicken Sie dann auf Feeds.
   2. Klicken Sie auf Add New.
   3. Konfigurieren Sie die neuen Feed-Einstellungen.

      Schritt	Screenshot	Einstellungen
      Eigenschaften festlegen		Geben Sie den FEED NAME ein. Wählen Sie Amazon S3 für SOURCE TYPE aus. Wählen Sie die Trend Vision One Daten aus, die Google SecOps für LOG TYPE erfassen soll. Verfügbare Optionen sind: Aktivität von Trend Micro Vision One Detektionen von Trend Micro Vision One Trend Micro Vision One Container-Schwachstellen Trend Micro Vision One Arbeitsbereich Audit von Trend Micro Vision One Trend Micro Vision One Observed Attack Techniques Klicken Sie auf Weiter.
      Eingabeparameter		Wählen Sie Auto Detect für REGION aus. Fügen Sie die in dem vorherigen Schritt erhaltene S3-URI in S3 URI ein. Wählen Sie Directory which includes subdirectories für URI IS A aus. Wählen Sie Never delete files für SOURCE DELETION OPTION aus. Fügen Sie die in dem vorherigen Schritt erhaltene Zugriffs-ID und den geheimen Zugriffsschlüssel in ACCESS KEY ID und SECRET ACCESS KEY ein. Klicken Sie auf NEXT.
      Abschließen		Überprüfen Sie Ihre neuen Feed-Einstellungen. Klicken Sie auf SUBMIT.

   4. Wiederholen Sie den Vorgang, um mehrere Feeds für alle Datentypen hinzuzufügen.
   Weitere Informationen zum Erstellen und Verwalten von Feeds finden Sie in der Google SecOps-Dokumentation.
   Google SecOps beginnt, ungefähr alle 15 Minuten Trend Vision One-Daten aus den S3-Buckets abzurufen.