收集 Trend Micro Vision One 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Trend Micro Vision One 日志。解析器会将提醒、事件数据、容器漏洞、活动数据和审核日志推送到由趋势科技管理的 AWS S3 存储分区。Google SecOps 大约每 15 分钟使用一次数据 Feed 来检索此数据。S3 存储分区中未检索的数据会保留 7 天,然后会被清除。
您可以在 Google SecOps 中创建多个 Feed,并单独配置通过这些 Feed 获取的数据。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您对 Trend Micro Vision One 具有特权访问权限。
将 Trend Vision One 数据导出到 Google SecOps
- 在 Trend Vision One 控制台中,生成访问密钥并指定要发送给 Google SecOps 的数据。
- 依次前往工作流和 Automation > 第三方集成。
- 在集成列中,点击 Google Security Operations。
- 在访问密钥下,点击生成密钥以生成访问密钥 ID 和私有访问密钥。保存访问密钥 ID 和私有访问密钥以供日后使用。
- 在数据转移下,开启您要发送到 S3 存储分区的数据旁边的开关。每次启用数据转移时,系统都会生成一个 S3 URI,并开始将数据发送到相应的 S3 存储桶。复制并存储 S3 URI 以供日后使用。
- 对于活动和活动数据,点击修改可修改数据范围。
- 如需停止向 Google SecOps 发送某种类型的数据,请关闭相应数据旁边的开关。 重新启用数据转移功能会生成新的 S3 URI。您需要在 Google SecOps 中配置新的 Feed。
在 Google SecOps 中配置 Feed 以注入 Trend Micro Vision One 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed name(Feed 名称)字段中,输入 Feed 的名称,例如
Trend Micro Vision One Workbench Logs
。 - 选择 Amazon S3 作为来源类型。
- 选择您希望 Google SecOps 注入的 Trend Vision One 数据作为日志类型。可用的选项包括:
- Trend Micro Vision One
- Trend Micro Vision One 活动
- Trend Micro Vision One 审核
- Trend Micro Vision One Container Vulnerabilities
- Trend Micro Vision One 检测
- Trend Micro Vision One 观察到的攻击技术
- Trend Micro Vision One Workbench
- 点击下一步。
- 为以下输入参数指定值:
- 点击下一步。
- 在最终确定界面中查看新的 Feed 配置,然后点击提交。
重复此流程,为要注入到 Google SecOps 中的所有 Trend Vision One 数据类型添加多个 Feed。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。