收集 Trend Micro Vision One 記錄

本文說明如何設定 Google Security Operations 資訊提供，以收集 Trend Micro Vision One 記錄。剖析器會將快訊、事件資料、容器安全漏洞、活動資料和稽核記錄，推送至 Trend Micro 管理的 AWS S3 值區。Google SecOps 大約每 15 分鐘會使用資料動態饋給擷取這項資料。S3 儲存空間中未擷取的資料會保留 7 天，之後就會清除。

您可以在 Google SecOps 中建立多個動態饋給，並個別設定透過動態饋給取得的資料。

事前準備

• 確認您擁有 Google SecOps 執行個體。
• 確認您具有 Trend Micro Vision One 的特殊權限。

設定 Trend Vision One 資料匯出至 Google SecOps

1. 在 Trend Vision One 控制台中產生存取金鑰，並指定要傳送至 Google SecOps 的資料。
2. 依序前往「工作流程和自動化」>「第三方整合」。
3. 在「整合」欄中，按一下「Google Security Operations」。
4. 在「存取金鑰」下方，按一下「產生金鑰」，即可產生存取金鑰 ID 和私密存取金鑰。儲存存取金鑰 ID 和私密存取金鑰，以供日後使用。
5. 在「資料移轉」下方，開啟要傳送至 S3 值區的資料旁邊的切換按鈕。啟用資料移轉功能後，系統會產生 S3 URI，並開始將資料傳送至對應的 S3 值區。複製並儲存 S3 URI，以供日後使用。
6. 如要修改「事件」和「活動資料」的資料範圍，請按一下「編輯」。
7. 如要停止將特定類型的資料傳送至 Google SecOps，請關閉資料旁的切換鈕。 重新啟用資料移轉功能後，系統會產生新的 S3 URI。您需要在 Google SecOps 中設定新的動態饋給。

在 Google SecOps 中設定動態饋給，擷取 Trend Micro Vision One 記錄

1. 依序前往「SIEM 設定」>「動態消息」。
2. 按一下「新增」。
3. 在「動態饋給名稱」欄位中輸入動態饋給名稱，例如 Trend Micro Vision One Workbench Logs。
4. 選取「Amazon S3」做為「來源類型」。
5. 選取要讓 Google SecOps 擷取的 Trend Vision One 資料做為「記錄類型」。可用選項包括：
   • Trend Micro Vision One
   • Trend Micro Vision One 活動
   • Trend Micro Vision One Audit
   • Trend Micro Vision One Container Vulnerabilities
   • Trend Micro Vision One Detections
   • Trend Micro Vision One 觀察到的攻擊技術
   • Trend Micro Vision One Workbench
6. 點選「下一步」。
7. 指定下列輸入參數的值：
   • 「區域」：選取「自動偵測」
   • S3 URI：輸入在上一節中取得的 S3 URI。
   • URI 為：選取「包含子目錄的目錄」。
   • 來源刪除選項：選取「一律不刪除檔案」。
   • 存取金鑰 ID：輸入上一節取得的使用者存取金鑰。
   • 私密存取金鑰：輸入在上一節取得的 S3 bucket 存取權使用者私密金鑰。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 在「Finalize」畫面上檢查新的動態饋給設定，然後按一下「Submit」。

重複執行這個程序，為要匯入 Google SecOps 的所有 Trend Vision One 資料類型新增多個動態饋給。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。