Ansichten:

Sehen Sie alle Ihre XDR-Daten direkt auf dem Splunk-Dashboard.

Bei einer Einzelinstanz-Splunk-Bereitstellung installieren Sie die TrendAI Vision One™ für die Splunk (XDR)-App auf dieser Instanz. Bei einer verteilten Splunk-Bereitstellung installieren Sie die App auf den folgenden Splunk Enterprise-Instanzen:
  • Suchköpfe (oder Mitglieder des Suchkopf-Clusters): Erforderlich für die Konfigurationsoberfläche, Dashboards und die Extraktion von Feldern zur Suchzeit.
  • Heavy Forwarder (Datensammelknoten): Erforderlich, um die Dateneingaben auszuführen, die XDR-Daten von TrendAI Vision One™ über die API sammeln. Die App sammelt Daten mithilfe modularer Eingaben, die nur auf einer vollständigen Splunk Enterprise-Instanz laufen. Universelle Forwarder unterstützen diese Dateneingaben nicht.
  • Indexer: Nicht erforderlich. Die Dateneingaben extrahieren die Felder aus den JSON-Daten auf dem Heavy Forwarder während der Sammlung, sodass die Ereignisse bereits analysiert bei den Indexern ankommen.
Beachten Sie, dass die folgenden Anweisungen auf den Splunk Server Enterprise Versionen 9.0.0, 9.1.0 und 9.2.0 basieren. Die Splunk-Einstellungen können unterschiedlich sein, wenn Sie eine andere Version von Splunk verwenden. Konsultieren Sie die Splunk-Dokumentation für spezifische Informationen zu Ihrer Version. Wenn Sie die Splunk-App als Upgrade installieren, übernimmt die App automatisch alle gültigen Einstellungen aus der alten Version und deaktiviert die Einstellungen für Daten-Eingaben in Splunk.

Prozedur

  1. Erhalten Sie in der TrendAI Vision One™ Konsole die Endpoint URL und die Authentication token:
    1. Navigieren Sie zu Workflow and AutomationThird-Party Integrations.
    2. Suchen Sie die Karte, und klicken Sie auf Splunk XDR.
    3. Verwenden Sie die Kopiersymbole ( copyicon=GUID-BD854E6D-5EB9-4181-BE68-D5F743237995=1=de-de=Low.jpg ), um die folgenden Informationen zu erhalten:
      • Endpoint URL
      • Authentication token
    4. Optional, wenn das Authentifizierungstoken abgelaufen ist oder nicht existiert, klicken Sie auf Erstellen und geben Sie die erforderlichen Informationen im API Key Settings-Fenster ein, um ein neues Token hinzuzufügen.
  2. Search for and install the TrendAI Vision One™ for Splunk (XDR) app from Splunkbase.
  3. Sobald die App installiert ist, gehen Sie zu AppsTrendAI Vision One™ for Splunk (XDR) in der Spunk-Konsole.
    SplunkConsoleAppsTrendMicroVisionOneEntry=GUID-C781FCFF-0A9B-42BA-AAFE-5FA84786EDA7=1=de-de=Low.png
  4. Konfigurieren Sie die Kontoeinstellungen:
    1. Navigieren Sie zu KonfigurationKonten.
    2. Verwenden Sie das Bearbeitungssymbol ( SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png ) neben jedem Konto, um dessen Einstellungen zu ändern.
    3. Fügen Sie das Endpoint URL und Authentication token ein, die Sie von der TrendAI Vision One™-Konsole erhalten haben. Wenn Sie mehrere Authentifizierungstoken haben, trennen Sie diese mit Semikolons.
    4. Klicken Sie auf Update.
    5. Optional können Sie zu KonfigurationProxy gehen und die folgenden Informationen bei Bedarf eingeben:
      • HTTPS Proxy Address
      • Retry Interval
    6. Klicken Sie auf Save.
  5. Optional: Neues Konto hinzufügen
    1. Klicken Sie auf Hinzufügen.
    2. Geben Sie die Account name ein und fügen Sie die Endpoint URL und Authentication token aus der TrendAI Vision One™-Konsole ein.
    3. Klicken Sie auf Hinzufügen.
  6. Konfigurieren Sie die von Splunk verwendeten Dateneingaben:
    1. Gehen Sie in der Menüleiste zu Inputs.
    2. Unter Status verwenden Sie den Schalter, um jede Dateneingabe zu aktivieren oder zu deaktivieren.
    3. Verwenden Sie das Bearbeitungssymbol ( SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png ), um die Einstellungen für die Dateneingabe zu konfigurieren.
    4. Geben Sie die folgenden Informationen für die Dateneingabe ein:
      • Name
      • Interval
      • Index
      • Global account
    5. Klicken Sie auf Update.
  7. Optional können Sie eine neue Dateneingabe hinzufügen:
    1. Klicken Sie auf Create New Input.
    2. Wählen Sie eine Dateneingabe unter folgenden Einstellungen:
      • TrendAI Vision One™ Workbench-Warnungen
      • TrendAI Vision One™ Observed Attack Techniques
      • TrendAI Vision One™ Prüfprotokolle
      • TrendAI Vision One™ Erkennung
    3. Geben Sie die Name, Interval und Index ein und wählen Sie die Global account für die Dateneingabe aus.
      Der Eingabetyp für Observed Attack Techniques-Daten erfordert zusätzlich die Auswahl eines Risikostufe und synchronisiert alle Ereignisse mit einer Risikostufe, die gleich oder höher ist als die angegebene Stufe. Die Auswahl von undefined, info oder Niedrig kann zu einem hohen Datenvolumen führen.
    4. Klicken Sie auf Hinzufügen.
    Nach erfolgreicher Installation der Splunk-App beginnt Splunk mit der Sammlung von XDR-Daten von TrendAI Vision One™. Splunk kann nur XDR-Daten sammeln, die nach der Verbindung mit TrendAI Vision One™ generiert wurden. Es kann einige Zeit dauern, bis neue XDR-Daten angezeigt werden.
    Der Bildschirm Erkennung in der Splunk-Konsole bietet nur eine begrenzte Anzahl von Erkennungsdatenfeldern aus XDR-Daten. Um detailliertere Erkennungsinformationen zu erhalten, gehen Sie zum Bildschirm Suche und führen Sie eine Abfrage mit der unterstützten Splunk-Syntax aus, wie z. B. source="trendmicro_v1_detection"|table _time,_raw. Dies ermöglicht es Ihnen, die vollständigen Erkennungsdaten von TrendAI Vision One™ einzusehen.