收集 Trend Micro Vision One 活動記錄

支援的國家/地區:

本文說明如何使用 AWS S3,將 Trend Micro Vision One 活動記錄檔擷取至 Google Security Operations。剖析器會將 Trend Micro Vision One 活動記錄從 JSON 格式轉換為統一資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Trend Micro Vision One 的特殊存取權。

在 Trend Micro Vision One 上設定記錄功能

  1. 登入 Trend Micro Vision One 主控台。
  2. 依序前往「工作流程和自動化」>「第三方整合」
  3. 按一下「Google Security Operations SIEM」
  4. 在「存取金鑰」下方,按一下「產生金鑰」
  5. 複製並儲存存取金鑰 ID私密存取金鑰
  6. 在「資料轉移」下方,啟用「活動資料」旁的切換鈕。
  7. 系統會產生 S3 URI,並開始將資料傳送至對應的 S3 值區。
  8. 複製 S3 URI 並儲存在安全的位置。
  9. (選用):如要修改事件和活動資料的範圍,請按一下「編輯」 (修改範圍不會變更產生的 S3 URI)。

設定動態饋給

在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:

  • 「SIEM 設定」>「動態消息」
  • 內容中心 > 內容包

依序前往「SIEM 設定」>「動態饋給」,設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中,輸入動態饋給的名稱 (例如 Trend Micro Vision One 活動記錄)。
  5. 選取「Amazon S3」做為「來源類型」
  6. 選取「Trend Micro Vision One Activity」做為「記錄類型」
  7. 點選「下一步」

  8. 指定下列輸入參數的值:

    • 區域:Amazon S3 值區所在的區域。
    • S3 URI:值區 URI (格式應為 s3://log-bucket-name/)。 取代下列項目:
      • log-bucket-name:值區名稱。
    • URI 為:選取「Directory」或「Directory which includes subdirectories」
    • 來源刪除選項:選取「一律不刪除檔案」。S3 bucket 中的資料會保留 7 天,之後就會清除。
    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。

  9. 點選「下一步」

  10. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

從內容中心設定動態饋給

為下列欄位指定值:

  • 區域:Amazon S3 儲存貯體所在的區域。
    • S3 URI:值區 URI (格式應為 s3://log-bucket-name/)。 取代下列項目:
      • log-bucket-name:值區名稱。
    • URI 為:選取「Directory」或「Directory which includes subdirectories」
    • 來源刪除選項:選取「一律不刪除檔案」。S3 bucket 中的資料會保留 7 天,之後就會清除。
    • 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
    • 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。

進階選項

  • 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
  • 來源類型:將記錄收集到 Google SecOps 的方法。
  • 資產命名空間:與動態饋給相關聯的命名空間。
  • 擷取標籤:套用至這個動態饋給所有事件的標籤。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。