收集 Trend Micro Vision One Workbench 日志

本文档介绍了如何使用 AWS S3 将 Trend Micro Vision One Workbench 日志注入到 Google 安全运营中心。解析器会将 Trend Micro Vision One Workbench 日志从 JSON 格式转换为统一数据模型 (UDM)。

准备工作

• Google SecOps 实例
• 对 Trend Micro Vision One 的特权访问权限

在 Trend Micro Vision One 上配置日志记录

1. 登录 Trend Micro Vision One 控制台。
2. 依次选择工作流和 Automation > 第三方集成。
3. 点击 Google Security Operations SIEM。
4. 在访问密钥下，点击生成密钥。
5. 复制并保存访问密钥 ID 和私有访问密钥。
6. 在数据传输下，启用Workbench 数据旁边的切换开关。
7. 系统会生成 S3 URI，并开始将数据发送到相应的 S3 存储桶。
8. 复制并保存 S3 网址，以备日后使用。

设置 Feed

您可以通过以下两个不同的入口点在 Google SecOps 平台中设置 Feed：

• SIEM 设置 > Feed
• 内容中心 > 内容包

依次选择“SIEM 设置”>“Feed”，设置 Feed

如需配置 Feed，请按以下步骤操作：

1. 依次前往 SIEM 设置 > Feed。
2. 点击添加新 Feed。
3. 在下一页上，点击配置单个 Feed。
4. 在Feed 名称字段中，输入 Feed 的名称（例如 Trend Micro Vision One Workbench Logs）。
5. 选择 Amazon S3 作为来源类型。
6. 选择 Trend Micro Vision One Workbench 作为日志类型。
7. 点击下一步。

8. 为以下输入参数指定值：

   • 区域：Amazon S3 存储桶所在的区域。
   • S3 URI：存储桶 URI（格式应为：s3://log-bucket-name/）。替换以下内容：
     • log-bucket-name：存储桶的名称。
   • URI 是：选择目录或包含子目录的目录。
   • 来源删除选项：选择永不删除文件。S3 存储桶中的数据会保留 7 天，之后才会被清除。
   • 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。
   • 私有访问密钥：有权访问 S3 存储桶的用户私钥。

9. 点击下一步。

10. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

通过内容中心设置 Feed

为以下字段指定值：

• 区域：Amazon S3 存储桶所在的区域。
• S3 URI：存储桶 URI（格式应为：s3://log-bucket-name/）。替换以下内容：
  • log-bucket-name：存储桶的名称。
• URI 是：选择目录或包含子目录的目录。
• 来源删除选项：选择永不删除文件。S3 存储桶中的数据会保留 7 天，之后才会被清除。
• 访问密钥 ID：有权访问 S3 存储桶的用户访问密钥。
• 私有访问密钥：有权访问 S3 存储桶的用户私钥。

高级选项

• Feed 名称：用于标识 Feed 的预先填充值。
• 来源类型：用于将日志收集到 Google SecOps 的方法。
• 素材资源命名空间：与 Feed 关联的命名空间。
• 提取标签：应用于此 Feed 中的所有事件的标签。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。