配置整合以啟用 Trend Vision One 與 Google Security Operations (Google SecOps) SIEM 共享資料,以增強安全遙測分析。
Trend Vision One 將警報、事件資料、容器弱點、活動資料和稽核日誌推送到由 趨勢科技 管理的 AWS S3 儲存桶。Google SecOps 大約每 15 分鐘使用資料饋送檢索這些資料。未檢索的 S3 儲存桶中的資料將保留 7 天後刪除。
您可以在 Google SecOps 中建立多個饋送,並分別配置使用饋送獲取的資料防護。
 |
重要以下指示和螢幕截圖截至2024年4月7日有效。如需進一步幫助,請查閱您的Google SecOps文件。
|
步驟
- 在 Trend Vision One 控制台中,生成訪問密鑰並指定要發送到 Google SecOps 的資料。
- 移至。
- 在Integration欄中,點擊Google Security Operations SIEM。
- 在Access key下,點擊Generate key以生成用於Google SecOps中資料饋送配置的訪問密鑰 ID 和秘密訪問密鑰。
- 在Data transfer下,啟用您想要發送到 S3 儲存桶的資料旁邊的切換開關。
注意
將活動資料發送到 S3 存儲桶需要 Trend Vision One 點數。在點數與計費應用程式中配置傳輸活動資料的資料配額並管理點數分配。如需有關資料格式和要求的資訊,請參閱 AWS S3 儲存桶的資料防護規範。重要
S3 存儲桶中的資料防護會保留 7 天,然後才會被清除。請確保您的 Google SecOps 資料來源已正確配置,以從 Trend Vision One 中攝取資料。每當資料傳輸已啟動時,會生成一個 S3 URI,並開始將資料發送到相應的 S3 儲存桶。請將 S3 URI 複製並儲存在安全的位置資訊。 - 對於Events和Activity data,點擊編輯來修改資料防護的範圍。修改範圍不會更改生成的 S3 URI。
- 若要停止將某類型的資料傳送至Google SecOps,請關閉資料旁的切換開關。重新啟用資料傳輸會生成一個新的 S3 URI。您需要在 Google SecOps 中配置一個新的提要。
- 在 Google SecOps 中,透過建立提要來從 AWS S3 儲存桶中提取資料防護,以配置 SIEM 設定。
- 從 Google SecOps 選單中,選擇 設定,然後點擊 Feeds。
- 按一下「新增」。
- 設定新的提要設定。步驟螢幕擷取畫面設定設定屬性
-
指定FEED NAME。
-
為SOURCE TYPE選取Amazon S3。
-
選擇您想要Google SecOps為LOG TYPE導入的Trend Vision One資料。可用的選項包括:
-
Trend Micro Vision One 活動
-
Trend Micro Vision One 偵測
-
Trend Micro Vision One 容器弱點
-
Trend Micro Vision One Workbench
-
Trend Micro Vision One Audit
-
趨勢科技 Vision One 觀察到的攻擊技術
-
-
按一下「下一步」。
輸入參數
- 為REGION選取Auto Detect。
-
將前一步驟中獲得的 S3 URI 貼上到S3 URI。
-
為URI IS A選取Directory which includes subdirectories。
-
為SOURCE DELETION OPTION選取Never delete files。
-
將在上一步驟中獲得的存取金鑰 ID 和秘密存取金鑰貼到 ACCESS KEY ID 和 SECRET ACCESS KEY。
-
點擊NEXT。
完成
-
檢查您的新動態設定。
-
點擊SUBMIT。
-
- 重複添加多個資料類型的多個源。
如需有關建立和管理饋送的詳細資訊,請參閱 Google SecOps 文件。Google SecOps 開始每隔大約 15 分鐘從 S3 儲存桶中提取 Trend Vision One 資料。