Mengumpulkan log Aktivitas Trend Micro Vision One

Didukung di:

Dokumen ini menjelaskan cara menyerap log Aktivitas Trend Micro Vision One ke Google Security Operations menggunakan AWS S3. Parser mengubah log Aktivitas Trend Micro Vision One dari format JSON menjadi Model Data Terpadu (UDM).

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke Trend Micro Vision One.

Mengonfigurasi Logging di Trend Micro Vision One

  1. Login ke konsol Trend Micro Vision One.
  2. Buka Workflow and Automation > Third-Party Integration.
  3. Klik Google Security Operations SIEM.
  4. Di bagian Kunci akses, klik Buat kunci.
  5. Salin dan Simpan ID kunci akses dan kunci akses rahasia.
  6. Di bagian Transfer data, aktifkan tombol di samping Data Aktivitas.
  7. URI S3 dibuat dan data mulai dikirim ke bucket S3 yang sesuai.
  8. Salin dan simpan URI S3 di lokasi yang aman.
  9. (Opsional): Untuk data Peristiwa dan Aktivitas, klik Edit untuk mengubah cakupan data (Mengubah cakupan tidak akan mengubah URI S3 yang dihasilkan).

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Aktivitas Trend Micro Vision One).
  5. Pilih Amazon S3 sebagai Jenis sumber.
  6. Pilih Trend Micro Vision One Activity sebagai Log type.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Region: Region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket (formatnya harus: s3://log-bucket-name/). Ganti berikut ini:
      • log-bucket-name: nama bucket.
    • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori.
    • Opsi penghapusan sumber: Pilih Jangan pernah menghapus file. Data di bucket S3 dipertahankan selama 7 hari sebelum dihapus.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • Region: Region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket (formatnya harus: s3://log-bucket-name/). Ganti berikut ini:
      • log-bucket-name: nama bucket.
    • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori.
    • Opsi penghapusan sumber: Pilih Jangan pernah menghapus file. Data di bucket S3 dipertahankan selama 7 hari sebelum dihapus.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.