Ansichten:

Sehen Sie alle Ihre XDR-Daten direkt auf dem Splunk-Dashboard.

Hinweis
Hinweis
  • Die folgenden Anweisungen basieren auf den Veröffentlichungen der Splunk Server Enterprise-Versionen 9.0.0, 9.1.0 und 9.2.0. Die Splunk-Einstellungen können unterschiedlich sein, wenn Sie eine andere Version von Splunk verwenden. In der Splunk-Dokumentation finden Sie spezifische Informationen zu Ihrer Version.
  • Wenn Sie die Splunk-App als Upgrade installieren, wendet die App automatisch alle gültigen Einstellungen aus der alten Version an und deaktiviert die Splunk Data inputs-Einstellungen.

Prozedur

  1. Erhalten Sie auf der Trend Vision One-Konsole die Endpoint URL und die Authentication token.
    1. Navigieren Sie zu Workflow and AutomationThird-Party Integrations.
    2. Wählen Sie Splunk XDR.
    3. Verwenden Sie die Kopiersymbole (copyicon=GUID-BD854E6D-5EB9-4181-BE68-D5F743237995=1=de-de=Low.jpg), um die folgenden Informationen zu erhalten:
      • Endpoint URL
      • Authentication token
    4. (Optional) Wenn das Authentifizierungstoken abgelaufen ist oder nicht existiert, klicken Sie auf Erstellen und geben Sie die erforderlichen Informationen im Fenster API Key Settings ein, um ein neues Token hinzuzufügen.
  2. Suchen Sie nach der Trend Vision One for Splunk (XDR)-App und installieren Sie sie von Splunkbase.
  3. Sobald die App installiert ist, gehen Sie in der Spunk-Konsole zu AppsTrend Vision One for Splunk (XDR).
    SplunkConsoleAppsTrendMicroVisionOneEntry=GUID-C781FCFF-0A9B-42BA-AAFE-5FA84786EDA7=1=de-de=Low.png
  4. Konfigurieren Sie die Kontoeinstellungen.
    1. Navigieren Sie zu KonfigurationKonten.
    2. Verwenden Sie das Bearbeitungssymbol (SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png) neben jedem Konto, um dessen Einstellungen zu ändern.
    3. Fügen Sie das Endpoint URL und Authentication token ein, die Sie von der Trend Vision One-Konsole erhalten haben. Wenn Sie mehrere Authentifizierungstoken haben, trennen Sie diese mit Semikolons.
    4. Klicken Sie auf Update.
    5. (Optional) Gehen Sie zu KonfigurationProxy und geben Sie die folgenden Informationen bei Bedarf ein:
      • HTTPS Proxy Address
      • Retry Interval
    6. Klicken Sie auf Save.
  5. (Optional) Neues Konto hinzufügen.
    1. Klicken Sie auf Hinzufügen.
    2. Geben Sie die Account name ein und fügen Sie die Endpoint URL und Authentication token aus der Trend Vision One-Konsole ein.
    3. Klicken Sie auf Hinzufügen.
  6. Konfigurieren Sie die von Splunk verwendeten Dateneingaben.
    1. Gehen Sie in der Menüleiste zu Inputs.
    2. Unter Status verwenden Sie den Schalter, um jede Dateneingabe zu aktivieren oder zu deaktivieren.
    3. Verwenden Sie das Bearbeitungssymbol (SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png), um die Einstellungen für die Dateneingabe zu konfigurieren.
    4. Geben Sie die folgenden Informationen für die Dateneingabe ein:
      • Name
      • Interval
      • Index
      • Global account
    5. Klicken Sie auf Update.
  7. (Optional) Fügen Sie eine neue Dateneingabe hinzu.
    1. Klicken Sie auf Create New Input.
    2. Wählen Sie eine Dateneingabe unter folgenden Einstellungen:
      • Trend Vision One Workbench-Warnungen
      • Trend Vision One Observed Attack Techniques
      • Trend Vision One Prüfprotokolle
      • Trend Vision One Erkennung
    3. Geben Sie die Name, Interval und Index ein und wählen Sie die Global account für die Dateneingabe aus.
      Hinweis
      Hinweis
      Der Eingabetyp für Observed Attack Techniques-Daten erfordert zusätzlich die Auswahl eines Risikostufe und synchronisiert alle Ereignisse mit einer Risikostufe, die gleich oder höher ist als die angegebene Stufe. Die Auswahl von undefined, info oder Niedrig kann zu einem hohen Datenvolumen führen.
    4. Klicken Sie auf Hinzufügen.
    Nach erfolgreicher Installation der Splunk-App beginnt Splunk mit der Sammlung von XDR-Daten von Trend Vision One. Splunk kann nur XDR-Daten sammeln, die nach der Verbindung mit Trend Vision One generiert wurden. Es kann einige Zeit dauern, bis neue XDR-Daten angezeigt werden.
    Hinweis
    Hinweis
    Der Bildschirm Erkennung in der Splunk-Konsole bietet nur eine begrenzte Anzahl von Erkennungsdatenfeldern aus XDR-Daten. Um detailliertere Erkennungsinformationen zu erhalten, gehen Sie zum Bildschirm Suche und führen Sie eine Abfrage mit der unterstützten Splunk-Syntax aus, wie z. B. source="trendmicro_v1_detection"|table _time,_raw. Dies ermöglicht es Ihnen, die vollständigen Erkennungsdaten von Trend Vision One einzusehen.