Mengumpulkan log Workbench Trend Micro Vision One

Didukung di:

Dokumen ini menjelaskan cara menyerap log Trend Micro Vision One Workbench ke Google Security Operations menggunakan AWS S3. Parser mengubah log Trend Micro Vision One Workbench dari format JSON menjadi Unified Data Model (UDM).

Sebelum memulai

  • Instance Google SecOps
  • Akses dengan hak istimewa ke Trend Micro Vision One

Mengonfigurasi Logging di Trend Micro Vision One

  1. Login ke konsol Trend Micro Vision One.
  2. Buka Alur Kerja dan Otomatisasi > Integrasi Pihak Ketiga.
  3. Klik Google Security Operations SIEM.
  4. Di bagian Kunci akses, klik Buat kunci.
  5. Salin dan simpan ID kunci akses dan kunci akses rahasia.
  6. Di bagian Transfer data, aktifkan tombol di samping Data Workbench.
  7. URI S3 akan dibuat dan data mulai dikirim ke bucket S3 yang sesuai.
  8. Salin dan simpan URL S3 untuk digunakan nanti.

Menyiapkan feed

Ada dua titik entri yang berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasikan satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Trend Micro Vision One Workbench Logs).
  5. Pilih Amazon S3 sebagai Source type.
  6. Pilih Trend Micro Vision One Workbench sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Region: Region tempat bucket Amazon S3 berada.
    • S3 URI: URI bucket (formatnya harus: s3://log-bucket-name/). Ganti hal berikut:
      • log-bucket-name: nama bucket.
    • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori.
    • Opsi penghapusan sumber: Pilih Never delete files. Data di bucket S3 dipertahankan selama 7 hari sebelum dihapus.
    • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Menyiapkan feed dari Content Hub

Tentukan nilai untuk kolom berikut:

  • Region: Region tempat bucket Amazon S3 berada.
  • S3 URI: URI bucket (formatnya harus: s3://log-bucket-name/). Ganti hal berikut:
    • log-bucket-name: nama bucket.
  • URI adalah: Pilih Direktori atau Direktori yang menyertakan subdirektori.
  • Opsi penghapusan sumber: Pilih Never delete files. Data di bucket S3 dipertahankan selama 7 hari sebelum dihapus.
  • Access Key ID: Kunci akses pengguna dengan akses ke bucket S3.
  • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.

Opsi lanjutan

  • Nama Feed: Nilai yang diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.