Mit dem Trend Micro Cloud App Security-Add-On für Splunk Enterprise können Sie Cloud App Security-Erkennungsprotokolle auf der Splunk-Konsole abrufen.

Anmerkung:

Die folgenden Anweisungen basieren auf der Veröffentlichung der Splunk Server Enterprise-Version 8.1.2. Die Splunk-Einstellungen können unterschiedlich sein, wenn Sie eine andere Version von Splunk verwenden. In der Splunk-Dokumentation finden Sie spezifische Informationen zu Ihrer Version.

  1. Öffnen Sie die Splunk-Konsole.
  2. Klicken Sie in der linken Liste Apps auf Weitere Apps suchen, um die App Trend Micro Cloud App Security-Add-On für Splunk Enterprise zu suchen und zu installieren.
  3. Konfigurieren Sie die Add-On-Einstellungen.
    1. Suchen Sie in der linken Liste Apps der Splunk-Konsole den Eintrag Trend Micro Cloud App Security-Add-On für Splunk Enterprise und klicken Sie darauf.

      Das Fenster „App-Konfiguration“ wird angezeigt.

    2. (Optional) Klicken Sie auf die Registerkarte Konfiguration, konfigurieren Sie die Proxy-Einstellungen und klicken Sie auf Speichern, wenn in Ihrer Umgebung ein Proxy erforderlich ist, um eine Verbindung zur Cloud App Security-URL herzustellen.
    3. Klicken Sie auf die Registerkarte Eingaben und klicken Sie anschließend auf Neue Eingabe erstellen.

      Das Fenster TMCAS-Erkennungsprotokolle hinzufügen wird angezeigt.

    4. Geben Sie die folgenden Felder an:

      • Name: Geben Sie einen eindeutigen Namen für diese Dateneingabe ein.

      • Intervall: Geben Sie das Protokollabfrageintervall in Sekunden an. Das Intervall muss mindestens 300 sein.

      • Index: Verwenden Sie die Einstellung Standard.

      • Dienst-URL: Unter Administration > Automations- und Integrations-APIs auf der Cloud App Security-Management-Konsole angegebene Dienst-URL. Die URL für die Konsolenanmeldung hängt davon ab, wo Ihr Cloud App Security-Dienst gehostet wird.

      • Authentifizierungstoken: Für den API-Typ Protokollabruf unter Administration > Automations- und Integrations-APIs auf der Cloud App Security-Management-Konsole erstellter Authentifizierungstoken.

      • Wählen Sie die Dienste zum Abrufen der Erkennungsprotokolle aus Cloud App Security aus.

    5. Klicken Sie auf Hinzufügen.
  4. Konfigurieren Sie die Splunk-Dashboard-Einstellungen.
    1. Klicken Sie auf der Splunk-Startseite auf Suche und Berichterstellung.
    2. Klicken Sie auf die Registerkarte Dashboards.
    3. Klicken Sie auf die Schaltfläche Neues Dashboard erstellen.
    4. Geben Sie den Titel und dieID an und klicken Sie auf Dashboard erstellen.

      Der Bildschirm Dashboard erstellen wird geöffnet.

    5. Klicken Sie auf Quelle.
    6. Kopieren Sie die Inhalte in Inhalt der Splunk-Dashboard-Konfiguration und fügen Sie sie im Bildschirm Dashboard bearbeiten ein.
    7. Klicken Sie auf Speichern.

    Das neue Dashboard wird in der Liste Dashboards mit den abgerufenen Cloud App Security-Erkennungsprotokollen angezeigt.

    Details zu den rohen Protokolldaten in Splunk finden Sie unter Antwortfelder in Sicherheitsprotokolle abrufen.

    Wichtig:

    Nach erfolgreicher Installation des Splunk-Add-Ons beginnt Splunk, neue Protokolle aus Cloud App Security abzurufen, sobald Erkennungen auftreten. Das Add-On ruft keine zuvor vorhandenen Protokolle aus Cloud App Security ab. Möglicherweise müssen Sie einige Zeit warten, bis neue Protokolle angezeigt werden.

Übergeordnetes Thema: Protokollabruf-API