收集 Trend Micro Vision One 日志

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Trend Micro Vision One 日志。解析器会将提醒、事件数据、容器漏洞、活动数据和审核日志推送到由 Trend Micro 管理的 AWS S3 存储分区。Google SecOps 大约每 15 分钟使用数据 Feed 检索一次此类数据。S3 存储分区中未检索到的数据会保留 7 天，然后才会被清除。

您可以在 Google SecOps 中创建多个 Feed，并单独配置使用这些 Feed 获取的数据。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您拥有对 Trend Micro Vision One 的特权访问权限。

配置将 Trend Vision One 数据导出到 Google SecOps

1. 在 Trend Vision One 控制台中，生成访问密钥并指定要发送到 Google SecOps 的数据。
2. 依次前往工作流和 Automation > 第三方集成。
3. 在集成列中，点击 Google Security Operations。
4. 在访问密钥下，点击生成密钥以生成访问密钥 ID 和 Secret 访问密钥。保存访问密钥 ID 和 Secret 访问密钥以备后用。
5. 在数据传输下，将要发送到 S3 存储分区的数据旁边的切换开关切换到“开启”状态。每当启用数据传输时，系统都会生成 S3 URI，并开始将数据发送到相应的 S3 存储桶。复制并存储 S3 URI，以备日后使用。
6. 对于事件和活动数据，点击修改可修改数据的范围。
7. 如要停止向 Google SecOps 发送某种类型的数据，请关闭相应数据旁边的切换开关。 重新启用数据传输后，系统会生成新的 S3 URI。您需要在 Google SecOps 中配置新的 Feed。

在 Google SecOps 中配置 Feed 以注入 Trend Micro Vision One 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在Feed 名称字段中，输入 Feed 的名称；例如 Trend Micro Vision One Workbench Logs。
4. 选择 Amazon S3 作为来源类型。
5. 选择您希望 Google SecOps 作为日志类型注入的 Trend Vision One 数据。可用选项包括：
   • Trend Micro Vision One
   • Trend Micro Vision One 活动记录
   • Trend Micro Vision One 审核
   • Trend Micro Vision One 容器漏洞
   • Trend Micro Vision One 检测
   • Trend Micro Vision One 观察到的攻击手法
   • Trend Micro Vision One Workbench
6. 点击下一步。
7. 为以下输入参数指定值：
   • 区域：选择自动检测
   • S3 URI：输入您在上一部分中获取的 S3 URI。
   • URI 是：选择包含子目录的目录。
   • 来源删除选项：选择永不删除文件。
   • Access Key ID：输入上一部分中获取的用户访问密钥。
   • 私有访问密钥：输入在上一部分中获取的具有对 S3 存储桶访问权限的用户 Secret 密钥。
   • 资源命名空间：资源命名空间。
   • 提取标签：要应用于此 Feed 中的事件的标签。
8. 点击下一步。
9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

重复此过程，为您要注入到 Google SecOps 的所有 Trend Vision One 数据类型添加多个 Feed。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。