Mengumpulkan log Aktivitas Trend Micro Vision One

Didukung di:

Dokumen ini menjelaskan cara menyerap log Aktivitas Trend Micro Vision One ke Google Security Operations menggunakan AWS S3. Parser mengubah log Aktivitas Trend Micro Vision One dari format JSON menjadi Model Data Terpadu (UDM).

Sebelum memulai

Pastikan Anda memenuhi prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke Trend Micro Vision One.

Mengonfigurasi Logging di Trend Micro Vision One

  1. Login ke konsol Trend Micro Vision One.
  2. Buka Workflow and Automation > Third-Party Integration.
  3. Klik Google Security Operations SIEM.
  4. Di bagian Kunci akses, klik Buat kunci.
  5. Salin dan Simpan ID kunci akses dan kunci akses rahasia.
  6. Di bagian Transfer data, aktifkan tombol di samping Data Aktivitas.
  7. URI S3 dibuat dan data mulai dikirim ke bucket S3 yang sesuai.
  8. Salin dan simpan URI S3 di lokasi yang aman.
  9. (Opsional): Untuk data Peristiwa dan Aktivitas, klik Edit untuk mengubah cakupan data (Mengubah cakupan tidak akan mengubah URI S3 yang dihasilkan).

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Aktivitas Trend Micro Vision One).
  5. Pilih Amazon S3 sebagai Jenis sumber.
  6. Pilih Trend Micro Vision One Activity sebagai Log type.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Region: Region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket (formatnya harus: s3://log-bucket-name/). Ganti berikut ini:
      • log-bucket-name: nama bucket.
    • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori.
    • Opsi penghapusan sumber: Pilih Jangan pernah menghapus file. Data di bucket S3 dipertahankan selama 7 hari sebelum dihapus.
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.