Konfigurieren Sie Cyber Risk Exposure Management-Datenquellen

Prozedur

1. Navigieren Sie zu Cyber Risk Exposure Management → Threat and Exposure Management.
2. Klicken Sie oben rechts auf die Schaltfläche Data sources.

   Tipp Sie können auch auf Data sources zugreifen, indem Sie auf die Schaltfläche in Cyber Risk Overview oder Attack Surface Discovery klicken oder indem Sie zu Workflow and Automation → Data Source and Log Management → Cyber Risk Exposure Management gehen.

   Eine Liste aller von Cyber Risk Exposure Management unterstützten Trend Micro und Drittanbieter-Datenquellen wird angezeigt. Klicken Sie auf einen Risikofaktor, um die Datenquellen hervorzuheben, die zur Erfassung der Daten für den angegebenen Risikofaktor verwendet werden.
3. Suchen und klicken Sie auf die Datenquelle, mit der Sie eine Verbindung herstellen möchten. Ein Bildschirm erscheint, der die erforderlichen Datenberechtigungen und die Verbindungsanforderungen für die angegebene Datenquelle erklärt.

   Wichtig Sie müssen über zugewiesene Credits, eine gültige Lizenz oder ein eingerichtetes Konto für die Trend Micro- oder Drittanbieter-Datenquelle verfügen, die Sie verbinden möchten. Die meisten Trend Micro Datenquellen müssen in der zur Quelle gehörenden App konfiguriert, verbunden und verwaltet werden. Die meisten Drittanbieter-Datenquellen müssen in Third-Party Integration konfiguriert, verbunden und verwaltet werden, sofern nicht anders angegeben. Sobald eine Datenquelle verbunden ist, kann es einige Minuten dauern, bis sich der Status der Datenquelle ändert.

   Die folgenden Tabellen beschreiben die von Cyber Risk Exposure Management unterstützten Datenquellen, die Art der von der Datenquelle gesammelten Daten und die Verbindungsmethode.

   Trend Vision One XDR sensors

   Quelle	Daten gesammelt	Verbindungsmethode
   Endpoint Sensor	Benutzer-, App- und Webaktivitäten sowie Schwachstellenbewertung auf überwachten Endpunkten	Konfigurieren Sie in Endpoint Inventory.
   Email Sensor	E-Mail-Aktivitäten in Office 365 Exchange Online	Konfigurieren Sie in Email Asset Inventory.
   Netzwerksensor	Sicherheitseinstellungen und Netzwerkaktivität im überwachten Netzwerkverkehr Hinweis Derzeit umfasst diese Datenquelle Virtual Network Sensor und TippingPoint Network Sensor, jedoch nicht Deep Discovery Inspector Network Sensor.	Virtuellen Netzwerksensor bereitstellen / TippingPoint-Netzwerksensor in Ihrer Umgebung in Network Inventory aktivieren.

   Trend Micro Security Services

   Quelle	Datenziel	Verbindungsmethode
   Standard-Endpunktschutz	Benutzer, Anwendungen, Webaktivitäten, Sicherheitseinstellungen und erkannte Bedrohungen auf überwachten Endpunkten	Installieren Sie Trend Vision One Endpoint Security Agents mit der Standard Endpoint Protection-Konfiguration auf Ihren Endpunkten und aktivieren Sie die Erkennung und Reaktion des Endpoint Sensors in der Endpoint Inventory.
   Server- und Workload Protection	Benutzer, Anwendungen, Webaktivitäten und erkannte Bedrohungen auf überwachten Endpunkten	Installieren Sie Trend Vision One Endpoint Security-Agenten mit der Server- und Workload Protection-Konfiguration auf Ihren Endpunkten und aktivieren Sie die Erkennung und Reaktion von Endpoint Sensoren in der Endpoint Inventory.
   Trend Micro Apex One as a Service	Benutzer, Anwendungen, Webaktivitäten und erkannte Bedrohungen auf überwachten Endpunkten	Verbinden Sie Trend Micro Apex One as a Service mit Trend Vision One in der Product Instance.
   Trend Micro Apex One On-Premises	Sicherheitseinstellungen und erkannte Bedrohungen auf überwachten Endpunkten	Verbinden Sie Ihre Trend Micro Apex One On-Premises-Server mit einem Trend Micro Apex Central-Management-Server und verbinden Sie dann Ihren Trend Micro Apex Central-Management-Server mit Trend Vision One in der Product Instance.
   Cloud-E-Mail- und Zusammenarbeitsschutz	Erkannte Bedrohungen und Sicherheitseinstellungen von Google Gmail und Microsoft Office 365 Apps.	Cloud-E-Mail- und Kollaborationsschutz in Product Instance konfigurieren.
   Trend Cloud One - Conformity	Cloud-Asset-Konfigurationen in AWS-, Microsoft Azure- und Google Cloud-Umgebungen	Stellen Sie sicher, dass Sie eine Lizenz für Conformity haben. Sie können sich für eine kostenlose Testversion anmelden, falls erforderlich. Verbinden und konfigurieren Sie Ihre Cloud-Konten in Conformity. Conformity AWS Datenquellen-Einrichtung Conformity Azure-Datenquellen-Einrichtung Conformity Google Cloud Datenquellen-Einrichtung Erstellen und kopieren Sie einen neuen schreibgeschützten API-Schlüssel in der Trend Cloud One Konsole. In der Trend Vision One console klicken Sie auf die Trend Cloud One - Conformity Datenquelle. Fügen Sie den API-Schlüssel in das entsprechende Feld ein und klicken Sie auf Check Nachdem der API-Schlüssel erfolgreich überprüft wurde, aktivieren Sie Data upload permission. Klicken Sie auf Save.
   Trend Cloud One - Endpunkt- und Workload-Sicherheit	Benutzer, Anwendungen, Webaktivitäten, Sicherheitseinstellungen und erkannte Bedrohungen auf überwachten Endpunkten	Verbinden Sie Trend Cloud One - Endpoint & Workload Security mit Trend Vision One in der Product Instance.
   Trend Micro Deep Discovery Inspector	Gezielte Angriffe und fortgeschrittene Bedrohungen im überwachten Netzwerkverkehr, Netzwerksicherheitskonfigurationsdaten und detaillierte Netzwerkaktivität Hinweis Derzeit umfasst diese Datenquelle Deep Discovery Inspector und Deep Discovery Inspector Network Sensor.	Stellen Sie Deep Discovery Inspector Appliances bereit und verbinden Sie diese. Aktivieren Sie den Netzwerksensor auf den verbundenen Appliances in Network Inventory.
   Trend Micro Deep Security	Benutzer, Anwendungen, Webaktivitäten und erkannte Bedrohungen auf überwachten Endpunkten	Konfigurieren Sie in Product Instance.
   Cloud Email Gateway Protection	E-Mail-Aktivitäten, Sicherheitseinstellungen und erkannte Bedrohungen auf überwachten E-Mail-Domänen	Konfigurieren Sie in Product Instance.
   Trend Micro Web Security	Webaktivitäten und webanwendungsbezogene Daten von überwachten Geräten und Benutzern	Verbunden, wenn Zero Trust Secure Access - Internet Access konfiguriert und bereitgestellt ist.
   Trend Vision One Mobile Security	Öffentliche Cloud-Apps, mobile Apps, Bedrohungen und Benutzeraktivitäten, die auf überwachten Mobilgeräten erkannt wurden	Mobile Agents auf Ihre verwalteten Mobilgeräte in Mobile Inventory bereitstellen.
   Trend Vision One Phishing Simulations	Gefährliche Benutzerkonten und Sicherheitsvorfälle aus Phishing Simulations	Konfigurieren Sie in Security Awareness.
   Trend Vision One Container Security	Schwachstellen, erkannte Bedrohungen und Systemkonfigurationsrisiken bei überwachten Containern und Images	Konfigurieren Sie in Container Inventory.
   TippingPoint Sicherheitsmanagementsystem	Netzwerkerkennungsprotokolle und Filterregelstatus	Verbinden Sie TippingPoint in Network Inventory. Stellen Sie sicher, dass Sie ein Service-Gateway als virtuelle Appliance installiert und konfiguriert haben. Aktivieren Sie Folgendes auf Ihrem Service-Gateway: Forward-Proxy Protokollweiterleitung Synchronisierung der Liste der verdächtigen Objekte TippingPoint-Richtlinienverwaltung
   Zero Trust Secure Access - Privater Zugriff	Benutzer, Geräte, Bedrohungserkennungen und interne App-Aktivitäten aus Ihrem internen Netzwerk	Konfigurieren Sie in Zero Trust Secure Access.
   Zero Trust Secure Access - Internetzugang	Benutzer, Geräte, Bedrohungserkennungen und Cloud-App-Aktivitäten zu externen Netzwerken	Konfigurieren Sie in Zero Trust Secure Access.

   Drittanbieter-Datenquellen

   Quelle	Gesammelte Daten oder ausgeführte Funktion	Verbindungsmethode
   Active Directory (lokal)	Informationen über interne Netzwerkbenutzer und Geräte	Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Active Directory (on-premises). Active Directory-Integration aktivieren. Befolgen Sie die Anweisungen auf dem Bildschirm, um Ihren Active Directory-Server hinzuzufügen. Wichtig Threat and Exposure Management und Zero Trust Secure Access benötigen beide die Berechtigung zum Hochladen von Daten, um sicherzustellen, dass bestimmte Funktionen ordnungsgemäß funktionieren. Das Widerrufen der Berechtigung zum Hochladen von Daten kann die Policy enforcement und die Risikoanalyse beeinträchtigen.
   Microsoft Defender für Endpunkt	Geräteinformationen, Aktivitätsdaten, Betriebssystem- und Anwendungskonfigurationsinformationen sowie Bedrohungserkennungsdaten	Gehen Sie zu Cloud Security → Cloud Accounts und wählen Sie ein bestehendes Azure-Abonnement aus oder fügen Sie ein neues Abonnement hinzu. Aktivieren Sie die Protokollsammlung von Microsoft Defender für Endpunkt in den Abonnement-Einstellungen. Konfigurieren Sie Ihre Microsoft Defender Endpunkteinstellungen, um Ereignisse zu exportieren. Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
   Microsoft Entra-ID	Benutzer- und Geräteinformationen, Identitätsinformationen, öffentliche Cloud-App-Daten und Aktivitätsdaten	Wechseln Sie zu Workflow and Automation → Third-Party Integrations, und klicken Sie auf Microsoft Entra ID. Suchen Sie einen oder mehrere Microsoft Entra-ID-Mandanten, für die Sie Berechtigungen erteilen möchten, und klicken Sie auf Berechtigungen erteilen in der Spalte Status für Cyber Risk Exposure Management. Befolgen Sie die Anweisungen auf dem Bildschirm, um die Datenverbindung zu aktivieren. Für weitere Informationen siehe Microsoft Entra-ID-Integration. Gehen Sie zurück zu Data sources, aktivieren Sie Data upload permission und klicken Sie auf Speichern.
   Google Cloud Identity	Verzeichnisdaten und Aktivitätsdaten	Zugriffsberechtigungen in Ihrem Google Cloud Identity-Mandanten erteilen. Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Konfigurieren Sie Ihren Google Cloud Identity-Mandanten. Sie müssen denselben Mandanten konfigurieren, dem Sie Berechtigungen erteilt haben.
   Claroty xDome	Drittanbieter-Schwachstellenbewertungstool (SaaS)	Aktivieren Sie Data upload permission und geben Sie die länder- oder regionsspezifische Claroty xDome-URL und den API-Schlüssel ein, der für ein Claroty xDome-Benutzerkonto mit der entsprechenden Rolle erstellt wurde. Für weitere Informationen siehe Claroty xDome-Integration.
   Nessus Pro	Geräteinformationen und CVE-Erkennungen aus Ihrem lokalen Netzwerk	Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Nessus Pro und folgen Sie den Anweisungen auf dem Bildschirm, um Ihr Konto zu verbinden. Für weitere Informationen siehe Nessus Pro-Integration.
   Microsoft 365	Nutzungsdaten, Aktivitätsdaten, Systemkonfiguration und Compliance-Informationen für Microsoft 365-Apps einschließlich OneDrive, SharePoint, Outlook und Teams.	Aktivieren Sie Data upload permission, nachdem Sie Microsoft Entra ID verbunden haben. Bei Bedarf können Sie die Berechtigung auch deaktivieren. Wichtig Die Verbindung von Microsoft 365 als Datenquelle erfordert, dass Sie Microsoft Entra-ID als Datenquelle konfigurieren und verbinden. Aktivieren Sie dazu den Data upload permission-Schalter für Microsoft Entra-ID und konfigurieren Sie ihn in Third-Party Integration.
   Okta	Benutzerinformationen, öffentliche Cloud-App-Daten und Aktivitätsdaten	Holen Sie sich die Okta URL domain und API token aus Ihrer Okta-Umgebung. Weitere Informationen finden Sie unter Abrufen Ihrer Okta-URL-Domain und API-Token. Hinweis Ihr Okta-Benutzerkonto muss über eine der folgenden Administratorberechtigungen in Okta verfügen: API-Zugriffsverwaltungsadministrator Mobile-Administrator Schreibgeschützter Administrator App-Administrator Org-Administrator Super-Administrator Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Okta und folgen Sie den Anweisungen auf dem Bildschirm, um Ihr Konto zu verbinden. Für weitere Informationen siehe Okta-Integration. Wichtig Threat and Exposure Management und Zero Trust Secure Access benötigen beide die Berechtigung zum Hochladen von Daten, um sicherzustellen, dass bestimmte Funktionen ordnungsgemäß funktionieren. Das Widerrufen der Berechtigung zum Hochladen von Daten kann die Policy enforcement und die Risikoanalyse beeinträchtigen.
   OpenLDAP	Benutzerinformationen aus Ihrem internen Netzwerk	Stellen Sie sicher, dass Sie ein Service-Gateway installiert und den lokalen Verzeichnisverbindungsdienst aktiviert haben. Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Finden und klicken Sie auf OpenLDAP und folgen Sie den Anweisungen auf dem Bildschirm, um Ihren Server zu verbinden. Weitere Informationen finden Sie unter OpenLDAP-Integration.
   Qualys	Geräteinformationen und CVEs, die durch Schwachstellenbewertungen von Drittanbietern erkannt wurden	Erstellen Sie in Ihrer Qualys-Konsole ein neues Konto mit einem aktiven Abonnement und den folgenden Berechtigungen: Rolle: Leser Berechtigungen für Asset-Management: Asset lesen Zugriff erlauben: API Asset-Gruppen (zugewiesen an) Fügen Sie Ihre Trend Vision Oneregionalen IP-Adressen für Verwaltung der Cyber-Risikoexposition der Liste der vertrauenswürdigen IP-Adressen in der Qualys-Konsole hinzu. Gehen Sie zurück zu Data sources und geben Sie den Benutzernamen und das Passwort für das neu erstellte Konto ein. Aktivieren Sie Data upload permission und klicken Sie auf Save and Verify. Bei Bedarf können Sie die Berechtigungen auch deaktivieren. Hinweis Qualys-Integration bietet nur CVE-Erkennungsdaten und begrenzte Geräteinformationen. Für vollständige Aktivitätsüberwachung von Exploit-Versuchen und umfassende Geräteinformationen installieren und aktivieren Sie Endpoint Sensor.
   Rapid7 - InsightVM	Geräteinformationen und CVEs, die durch Schwachstellenbewertungen von Drittanbietern erkannt wurden	Von Ihrer Rapid7-Konsole aus erhalten Sie die Insight Platform-URL und den API-Schlüssel für ein Rapid7 Insight-Benutzerkonto mit der Rolle des Plattform-Administrators. Weitere Informationen finden Sie unter Rapid7 - InsightVM-Integration. Gehen Sie zurück zu Data sources und geben Sie die neu erhaltene Plattform-URL und den API-Schlüssel ein. Aktivieren Sie Data upload permission und klicken Sie auf Speichern. Bei Bedarf können Sie die Berechtigungen auch deaktivieren.
   Rapid7 - Nexpose	Geräteinformationen und CVE-Erkennungen aus Ihrem lokalen Netzwerk	Stellen Sie sicher, dass Sie ein Service-Gateway mit dem Rapid7 - Nexpose-Connector-Dienst aktiviert installiert haben. Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Rapid7 - Nexpose und folgen Sie den Anweisungen auf dem Bildschirm, um Ihren Server zu verbinden. Für weitere Informationen siehe Rapid7 - Nexpose-Integration.
   Erneut scannen	Daten von internetzugänglichen Assets, einschließlich erkannter CVEs und Fehlkonfigurationen	Wichtig Durch das Aktivieren der Erneut scannen-Integration wird die Verwaltung der Cyber-Risikoexposition-Datenquelle für die Erfassung von internetbezogenen Asset-Daten auf Erneut scannen umgestellt. Nach dem Wechsel der Datenquelle sind die zuvor von Trend Micro-Lösungen erfassten internetbezogenen Asset-Daten nicht mehr verfügbar. Rufen Sie die URL und das API-Token für Ihr Rescana-Konto in Ihrer Rescana-Konsole ab. Gehen Sie zurück zu Data sources und geben Sie die neu erhaltene URL und das API-Token ein. Klicken Sie auf Verbindung testen, um die Konnektivität zu überprüfen. Geben Sie die URL und das API-Token für Ihr Rescana-Konto an. Klicken Sie auf Connect. Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
   Salesforce	Salesforce-Metadaten und Informationen zu Systemfehlkonfigurationen	Aktivieren Sie Data upload permission, nachdem Sie Salesforce in Third-Party Integration verbunden haben. Weitere Informationen finden Sie unter Salesforce-Integration. Wichtig Dies ist eine 'vorab veröffentlichte' Funktion und gilt nicht als offizielle Version. Lesen Sie Haftungsausschluss für Vorabversion vor der Verwendung der Funktion.
   Splunk - Netzwerk-Firewall / Web-Gateway-Protokolle	Benutzeraktivitäten auf erkannten öffentlichen Cloud-Apps	Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Cyber Risk Exposure Management for Splunk. Kopieren Sie das angezeigte Authentifizierungstoken. Laden Sie die Cyber Risk Exposure Management für Splunk-App herunter und installieren Sie sie. Verwenden Sie das Authentifizierungstoken, um die App zu konfigurieren. Für weitere Informationen siehe Verwaltung der Cyber-Risikoexposition für Splunk-Integration.
   Tanium Comply	Geräteinformationen und CVEs, die durch Schwachstellenbewertungen von Drittanbietern erkannt wurden	Holen Sie die Tanium Comply-URL und das API-Token aus der Tanium-Konsole mit einem Konto mit der entsprechenden Rolle. Für weitere Informationen siehe Tanium Comply-Integration. Fügen Sie Ihre Trend Vision Oneregionalen IP-Adressen für Verwaltung der Cyber-Risikoexposition zur Liste der vertrauenswürdigen IP-Adressen in der Tanium-Konsole hinzu. Gehen Sie zurück zu Data sources und geben Sie die neu erhaltene URL und das API-Token ein. Aktivieren Sie Data upload permission und klicken Sie auf Speichern. Bei Bedarf können Sie die Berechtigungen auch deaktivieren.
   Greenbone	Drittanbieter-Schwachstellenbewertungstool (vor Ort)	Aktivieren Sie das Greenbone Management Protokoll (GMP) auf Ihrem Greenbone Enterprise Appliance. Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Greenbone. Wählen Sie ein Service-Gateway mit installiertem Greenbone Connector-Dienst aus. Wenn kein Service-Gateway verfügbar ist, stellen Sie ein Service-Gateway mit dem Greenbone Connector-Dienst bereit oder installieren Sie den Dienst auf einem vorhandenen Service-Gateway. Geben Sie den Benutzernamen und das Passwort für Ihren Greenbone-Server ein. Klicken Sie auf Verbinden. Weitere Informationen finden Sie unter Greenbone-Integration.
   Tenable Security Center	Geräteinformationen und CVE-Erkennungen aus Ihrem lokalen Netzwerk	Stellen Sie sicher, dass ein Service-Gateway mit dem Tenable Security Center-Connector-Dienst aktiviert installiert ist. Navigieren Sie zu Workflow and Automation → Third-Party Integrations. Suchen und klicken Sie auf Tenable Security Center und folgen Sie den Anweisungen auf dem Bildschirm, um Ihren Server zu verbinden. Weitere Informationen finden Sie unter Tenable Security Center Datenquellen-Einrichtung.
   Tenable Vulnerability Management	Geräteinformationen und CVEs, die durch Schwachstellenbewertungen von Drittanbietern erkannt wurden	Erhalten Sie den geheimen Schlüssel und den Zugriffsschlüssel für das Tenable Vulnerability Management aus der Tenable Vulnerability Management-Konsole mit einem Konto, das über die entsprechenden Berechtigungen verfügt. Weitere Informationen finden Sie unter Tenable Vulnerability Management-Integration. Gehen Sie zurück zu Data sources und geben Sie den neu erhaltenen geheimen Schlüssel und Zugriffsschlüssel ein. Aktivieren Sie Data upload permission und klicken Sie auf Speichern. Bei Bedarf können Sie die Berechtigungen auch deaktivieren.