Mengumpulkan log Trend Micro Vision One
Dokumen ini menjelaskan cara mengumpulkan log Trend Micro Vision One dengan menyiapkan feed Google Security Operations. Parser mengirimkan pemberitahuan, data peristiwa, kerentanan penampung, data aktivitas, dan log audit ke bucket AWS S3 yang dikelola oleh Trend Micro. Google SecOps mengambil data ini menggunakan feed data setiap 15 menit. Data yang tidak diambil di bucket S3 dipertahankan selama 7 hari sebelum dihapus.
Anda dapat membuat beberapa feed di Google SecOps dan mengonfigurasi data yang diperoleh menggunakan feed satu per satu.
Sebelum memulai
- Pastikan Anda memiliki instance Google SecOps.
- Pastikan Anda memiliki akses istimewa ke Trend Micro Vision One.
Mengonfigurasi Ekspor Data Trend Vision One ke Google SecOps
- Di konsol Trend Vision One, buat kunci akses dan tentukan data yang akan dikirim ke Google SecOps.
- Buka Workflow and Automation > Third-Party Integration.
- Di kolom Integrasi, klik Google Security Operations.
- Di bagian Access key, klik Generate key untuk membuat ID kunci akses dan kunci akses rahasia. Simpan ID kunci akses dan kunci akses rahasia untuk digunakan nanti.
- Di bagian Transfer data, aktifkan tombol di samping data yang ingin Anda kirim ke bucket S3. Setiap kali transfer data diaktifkan, URI S3 akan dibuat dan data akan mulai dikirim ke bucket S3 yang sesuai. Salin dan simpan URI S3 untuk digunakan nanti.
- Untuk Peristiwa dan Data aktivitas, klik Edit untuk mengubah cakupan data.
- Untuk berhenti mengirimkan jenis data ke Google SecOps, nonaktifkan tombol di samping data. Mengaktifkan kembali transfer data akan menghasilkan URI S3 baru. Anda harus mengonfigurasi feed baru di Google SecOps.
Konfigurasi feed di Google SecOps untuk menyerap log Trend Micro Vision One
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed; misalnya,
Trend Micro Vision One Workbench Logs
. - Pilih Amazon S3 sebagai Jenis sumber.
- Pilih data Trend Vision One yang ingin Anda masukkan ke Google SecOps sebagai Jenis log. Opsi yang tersedia meliputi:
- Trend Micro Vision One
- Aktivitas Trend Micro Vision One
- Trend Micro Vision One Audit
- Kerentanan Kontainer Trend Micro Vision One
- Deteksi Trend Micro Vision One
- Teknik Serangan yang Diamati Trend Micro Vision One
- Trend Micro Vision One Workbench
- Klik Berikutnya.
- Tentukan nilai untuk parameter input berikut:
- Region: pilih Deteksi otomatis
- S3 URI: masukkan S3 URI yang diperoleh di bagian sebelumnya.
- URI adalah: pilih Direktori yang menyertakan subdirektori.
- Opsi penghapusan sumber: pilih Jangan pernah menghapus file.
- Access Key ID: masukkan Kunci akses pengguna yang diperoleh di bagian sebelumnya.
- Kunci Akses Rahasia: masukkan kunci rahasia Pengguna dengan akses ke bucket S3 yang diperoleh di bagian sebelumnya.
- Namespace aset: namespace aset.
- Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
- Klik Berikutnya.
- Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Ulangi proses ini untuk menambahkan beberapa feed untuk semua jenis data Trend Vision One yang ingin Anda masukkan ke Google SecOps.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.