收集 Trend Micro Vision One 日志

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Trend Micro Vision One 日志。解析器会将提醒、事件数据、容器漏洞、活动数据和审核日志推送到由趋势科技管理的 AWS S3 存储分区。Google SecOps 大约每 15 分钟使用一次数据 Feed 来检索此数据。S3 存储分区中未检索的数据会保留 7 天，然后会被清除。

您可以在 Google SecOps 中创建多个 Feed，并单独配置通过这些 Feed 获取的数据。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您对 Trend Micro Vision One 具有特权访问权限。

将 Trend Vision One 数据导出到 Google SecOps

1. 在 Trend Vision One 控制台中，生成访问密钥并指定要发送给 Google SecOps 的数据。
2. 依次前往工作流和 Automation > 第三方集成。
3. 在集成列中，点击 Google Security Operations。
4. 在访问密钥下，点击生成密钥以生成访问密钥 ID 和私有访问密钥。保存访问密钥 ID 和私有访问密钥以供日后使用。
5. 在数据转移下，开启您要发送到 S3 存储分区的数据旁边的开关。每次启用数据转移时，系统都会生成一个 S3 URI，并开始将数据发送到相应的 S3 存储桶。复制并存储 S3 URI 以供日后使用。
6. 对于活动和活动数据，点击修改可修改数据范围。
7. 如需停止向 Google SecOps 发送某种类型的数据，请关闭相应数据旁边的开关。 重新启用数据转移功能会生成新的 S3 URI。您需要在 Google SecOps 中配置新的 Feed。

在 Google SecOps 中配置 Feed 以注入 Trend Micro Vision One 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在Feed name（Feed 名称）字段中，输入 Feed 的名称，例如 Trend Micro Vision One Workbench Logs。
4. 选择 Amazon S3 作为来源类型。
5. 选择您希望 Google SecOps 注入的 Trend Vision One 数据作为日志类型。可用的选项包括：
   • Trend Micro Vision One
   • Trend Micro Vision One 活动
   • Trend Micro Vision One 审核
   • Trend Micro Vision One Container Vulnerabilities
   • Trend Micro Vision One 检测
   • Trend Micro Vision One 观察到的攻击技术
   • Trend Micro Vision One Workbench
6. 点击下一步。
7. 为以下输入参数指定值：
   • 区域：选择自动检测
   • S3 URI：输入在上一部分中获取的 S3 URI。
   • URI is a（URI 是一个）：选择目录（包括子目录）。
   • 源删除选项：选择永不删除文件。
   • Access Key ID：输入在上一部分中获取的用户访问密钥。
   • 私有访问密钥：输入在上一部分中获取的具有 S3 存储桶访问权限的用户私有密钥。
   • 资源命名空间：资源命名空间。
   • 注入标签：要应用于此 Feed 中事件的标签。
8. 点击下一步。
9. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

重复此流程，为要注入到 Google SecOps 中的所有 Trend Vision One 数据类型添加多个 Feed。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。