收集 Trend Micro Vision One 偵測記錄
支援以下發布途徑:
Google secops
Siem
本文說明如何使用 AWS S3,將 Trend Micro Vision One 偵測記錄匯入 Google 安全作業。剖析器會將 Trend Micro Vision One 偵測記錄從 JSON 格式轉換為統一資料模型 (UDM)。
事前準備
請確認您已具備下列必要條件:
- Google SecOps 執行個體
- Trend Micro Vision One 的特殊存取權
在 Trend Micro Vision One 上設定記錄功能
- 登入 Trend Micro Vision One 主控台。
- 依序前往「工作流程和自動化」>「第三方整合」。
- 按一下「Google Security Operations SIEM」。
- 在「存取金鑰」下方,點選「產生金鑰」。
- 複製並儲存存取金鑰 ID和私密存取金鑰。
- 在「資料移轉」下方,啟用「偵測資料」旁的切換鈕。
- 系統會產生 S3 URI,並開始將資料傳送至對應的 S3 值區。
- 複製並儲存 S3 網址,以便日後使用。
設定動態饋給
在 Google SecOps 平台中,有兩個不同的入口可用來設定動態消息:
- SIEM 設定 > 動態饋給
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態饋給」,設定動態饋給
如要設定動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一頁中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給的名稱 (例如
Trend Micro Vision One Detections Logs)。 - 選取「Amazon S3」做為「來源類型」。
- 選取「Trend Micro Vision One Detections」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:值區 URI (格式應為:
s3://log-bucket-name/)。 請替換下列項目:log-bucket-name:值區名稱。
- URI 是:選取「目錄」或「包含子目錄的目錄」。
- 來源刪除選項:選取「一律不刪除檔案」。S3 值區中的資料會保留 7 天,之後才會清除。
- 存取金鑰 ID:可存取 S3 值區的使用者存取金鑰。
- Secret Access Key:可存取 S3 值區的使用者私密金鑰。
點選「下一步」。
在「完成」畫面中查看新的動態饋給設定,然後按一下「提交」。
透過內容中心設定動態饋給
指定下列欄位的值:
- 區域:Amazon S3 值區所在的區域。
- S3 URI:值區 URI (格式應為:
s3://log-bucket-name/)。 請替換下列項目:log-bucket-name:值區名稱。
- URI 是:選取「目錄」或「包含子目錄的目錄」。
- 來源刪除選項:選取「一律不刪除檔案」。S3 值區中的資料會保留 7 天,之後才會清除。
- 存取金鑰 ID:可存取 S3 值區的使用者存取金鑰。
- Secret Access Key:可存取 S3 值區的使用者私密金鑰。
- S3 URI:值區 URI (格式應為:
進階選項
- 動態饋給名稱:預先填入的值,用於識別動態饋給。
- 來源類型:用於收集記錄並匯入 Google SecOps 的方法。
- 素材資源命名空間:與動態饋給相關聯的命名空間。
- 攝入標籤:套用至這個動態饋給中所有事件的標籤。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。