收集 Trend Micro Vision One 审核日志

支持的语言:

本文档介绍了如何使用 AWS S3 将 Trend Micro Vision One 审核日志注入到 Google Security Operations。解析器会将 Trend Micro Vision One 审核日志从 JSON 格式转换为统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 Trend Micro Vision One 的特权访问权限

在 Trend Micro Vision One 上配置日志记录

  1. 登录 Trend Micro Vision One 控制台。
  2. 依次前往工作流和 Automation > 第三方集成
  3. 点击 Google Security Operations SIEM
  4. 访问密钥下,点击生成密钥
  5. 复制并保存访问密钥 ID私有访问密钥
  6. 数据转移下方,启用审核数据旁边的切换开关。
  7. 系统会生成 S3 URI,并开始将数据发送到相应的 S3 存储桶。
  8. 复制并保存 S3 网址,以供日后使用。

设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Trend Micro Vision One Audit Logs)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 Trend Micro Vision One Audit 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI(格式应为:s3://log-bucket-name/)。 替换以下内容:
      • log-bucket-name:相应存储桶的名称。
    • URI is a(URI 是):选择目录目录(包括子目录)
    • 源删除选项:选择永不删除文件。S3 存储桶中的数据在被清除之前会保留 7 天。
    • 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
    • 私有访问密钥:具有 S3 存储桶访问权限的用户私有密钥。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。