收集 Trend Micro Vision One 检测日志

支持的语言:

本文档介绍了如何使用 AWS S3 将 Trend Micro Vision One Detections 日志注入到 Google Security Operations。解析器会将 Trend Micro Vision One Detections 日志从 JSON 格式转换为统一数据模型 (UDM)。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 Trend Micro Vision One 的特权访问权限

在 Trend Micro Vision One 上配置 Logging

  1. 登录 Trend Micro Vision One 控制台。
  2. 依次前往工作流和 Automation > 第三方集成
  3. 点击 Google Security Operations SIEM
  4. 访问密钥下,点击生成密钥
  5. 复制并保存访问密钥 ID私有访问密钥
  6. 数据转移下,启用检测数据旁边的切换开关。
  7. 系统会生成 S3 URI,并开始将数据发送到相应的 S3 存储桶。
  8. 复制并保存 S3 网址,以供日后使用。

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称(例如 Trend Micro Vision One Detections Logs)。
  5. 选择 Amazon S3 作为来源类型
  6. 选择 Trend Micro Vision One Detections 作为日志类型
  7. 点击下一步

  8. 为以下输入参数指定值:

    • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI(格式应为:s3://log-bucket-name/)。 请替换以下内容:
      • log-bucket-name:相应存储桶的名称。
    • URI is a(URI 是):选择目录目录(包括子目录)
    • 源删除选项:选择永不删除文件。S3 存储桶中的数据在被清除之前会保留 7 天。
    • 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
    • 私有访问密钥:具有 S3 存储桶访问权限的用户私有密钥。

  9. 点击下一步

  10. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 区域:Amazon S3 存储桶所在的区域。
    • S3 URI:存储桶 URI(格式应为:s3://log-bucket-name/)。 请替换以下内容:
      • log-bucket-name:相应存储桶的名称。
    • URI is a(URI 是):选择目录目录(包括子目录)
    • 源删除选项:选择永不删除文件。S3 存储桶中的数据在被清除之前会保留 7 天。
    • 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
    • 私有访问密钥:具有 S3 存储桶访问权限的用户私有密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。