收集 Trend Micro Vision One 觀察到的攻擊技術記錄

本文說明如何使用 AWS S3，將 Trend Micro Vision One Observed Attack Techniques 記錄檔擷取至 Google Security Operations。剖析器會將 JSON 格式的記錄轉換為統一資料模型 (UDM)。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Trend Micro Vision One 的特殊存取權

在 Trend Micro Vision One 上設定記錄功能

1. 登入 Trend Micro Vision One 控制台。
2. 依序前往「Workflow and Automation」>「Third-Party Integration」。
3. 按一下「Google Security Operations SIEM」。
4. 在「存取金鑰」下方，按一下「產生金鑰」。
5. 複製並儲存存取金鑰 ID 和私密存取金鑰。
6. 在「資料轉移」下方，啟用「觀察到的攻擊技術」旁的切換鈕。
7. 系統會產生 S3 URI，並開始將資料傳送至對應的 S3 bucket。
8. 複製並儲存 S3 網址，以供日後使用。

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Trend Micro Vision One Observed Attack Techniques Logs)。
5. 選取「Amazon S3 V2」做為「來源類型」。
6. 選取「Trend Micro Vision One Observed Attack Techniques」(Trend Micro Vision One 觀察到的攻擊技術) 做為「記錄類型」。
7. 點選「下一步」。

8. 指定下列輸入參數的值：

   • S3 URI：值區 URI (格式應為 s3://log-bucket-name/)。 請替換下列項目：
     • log-bucket-name：值區名稱。
   • 來源刪除選項：選取「一律不刪除檔案」。S3 bucket 中的資料會在清除前保留 7 天。
   • 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。
   • 存取金鑰 ID：具有 S3 儲存空間存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。

9. 點選「下一步」。

10. 在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。