收集 Trend Micro Vision One 活动日志

本文档介绍了如何使用 AWS S3 将 Trend Micro Vision One 活动日志注入到 Google Security Operations。解析器会将 Trend Micro Vision One 活动日志从 JSON 格式转换为统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件：

• Google SecOps 实例
• 对 Trend Micro Vision One 的特权访问权限。

在 Trend Micro Vision One 上配置日志记录

1. 登录 Trend Micro Vision One 控制台。
2. 依次前往工作流和 Automation > 第三方集成。
3. 点击 Google Security Operations SIEM。
4. 在“访问密钥”下，点击生成密钥。
5. 复制并保存访问密钥 ID 和私有访问密钥。
6. 在“数据转移”下，启用“活动数据”旁边的切换开关。
7. 系统会生成 S3 URI，并开始将数据发送到相应的 S3 存储桶。
8. 复制 S3 URI 并将其保存在安全的位置。
9. （可选）：对于“事件”和“活动”数据，点击修改可修改数据范围（修改范围不会更改生成的 S3 URI）。

设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置> Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在Feed 名称字段中，输入 Feed 的名称（例如“Trend Micro Vision One 活动日志”）。
5. 选择 Amazon S3 作为来源类型。
6. 选择 Trend Micro Vision One 活动作为日志类型。
7. 点击下一步。

8. 为以下输入参数指定值：

   • 区域：Amazon S3 存储桶所在的区域。
   • S3 URI：存储桶 URI（格式应为：s3://log-bucket-name/）。 替换以下内容：
     • log-bucket-name：相应存储桶的名称。
   • URI is a：选择目录或目录（包括子目录）。
   • 源删除选项：选择永不删除文件。S3 存储桶中的数据在被清除之前会保留 7 天。
   • 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。
   • 私有访问密钥：具有 S3 存储桶访问权限的用户私有密钥。

9. 点击下一步。

10. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。