Konfigurieren Sie den Connector, um das Teilen von Trend Vision One XDR-Daten mit Splunk Cloud zu ermöglichen.
Der Splunk HEC-Connector nutzt den HTTP Event Collector, um XDR-Daten an die Splunk
Cloud zu senden. Der Connector unterstützt Verbindungen zu mehreren Splunk Cloud-Instanzen.
Prozedur
- Gehen Sie in Trend Vision One zu .
- Klicken Sie auf Splunk HEC Connector (SaaS/Cloud).
- Klicken Sie auf + Connect Splunk HEC Server.Das Fenster Splunk HEC Server Connection wird angezeigt.
- Konfigurieren Sie die Verbindungseinstellungen im Splunk HEC Server Connection-Panel.EinstellungBeschreibungFirewall-AusnahmenUm sicherzustellen, dass Trend Vision One mit Ihrem Splunk HEC-Server kommunizieren kann, fügen Sie alle im Splunk HEC Server Connection-Panel angezeigten FQDN/IP-Adressen zu Ihren Firewall-Ausnahmen hinzu.Server-AdresseGeben Sie die IP-Adresse oder den FQDN für Ihren Splunk HEC-Server an.FormatGeben Sie ein Format für die übertragenen Daten an.
Hinweis
Splunk HEC Connector (SaaS/Cloud) unterstützt nur das JSON-Format.ProtokollWählen Sie ein Verbindungsprotokoll aus der Liste aus.PortEinen Port für die Verbindung auswählen.Standardanschlusseinstellungen:-
HTTP: 8088
-
HTTPS: 8088
HEC-TokenGeben Sie das Splunk HTTP Event Collector-Token an.CA-Zertifikat verwendenUm ein CA-Zertifikat zu verwenden, um eine Verbindung zu Ihrem Splunk HEC-Server herzustellen, können Sie Use CA certificate auswählen.Server erfordert Client-AuthentifizierungUm ein Client-Authentifizierungszertifikat zu verlangen, können Sie Server requires client authentication auswählen. -
- Konfigurieren Sie den Umfang der Daten, die an Splunk Cloud gesendet werden sollen,
indem Sie aus Folgendem auswählen:
-
Workbench-Warnungen
-
Ereignisse
-
Observed Attack Techniques (erfordert Angabe der Ereignisschwere)
-
Alle Erkennungen
-
-
Container-Schwachstellen
Hinweis
Aufgrund der potenziell großen Größe der Sicherheitslücken-Daten von Containern empfiehlt Trend Micro, die Splunk-TRUNCATE-Einstellung vom Standardwert 10.000 auf 100.000 zu ändern. Für weitere Informationen über die TRUNCATE-Einstellung lesen Sie die offizielle Splunk-Dokumentation. -
Aktivitätsdaten (erfordert Angabe des Umfangs)
Hinweis
Das Senden von Aktivitätsdaten erfordert Trend Vision One Credits. Konfigurieren Sie das Datenkontingent für die Übertragung von Aktivitätsdaten und verwalten Sie die Zuweisung von Credits in der Credits & Billing App.
Die folgende Tabelle listet die Feldnamen in Trend Vision One XDR-Daten auf, die von Splunk als Ereigniszeit erfasst wurden.DatentypFeldnameWorkbench-WarnungenaktualisierteZeitObserved Attack TechniquesErkennungszeitFundeEreigniszeitContainer-SchwachstellenScanzeitAktivitätsdatenEreigniszeitZum Beispiel können Sie Folgendes in Splunk konfigurieren:TIME_PREFIX = ("eventTime":\s*)|("scantime":\s*)|("updatedTime":\s*)|("detectionTime":\s*)Für weitere Fragen zu Splunk wenden Sie sich bitte an Ihren Splunk-Support. -
- Wählen Sie die Assets aus, von denen die angegebenen Daten gesammelt werden.
-
Alle Assets: Daten von allen Assets werden übertragen
-
Assets mit ausgewählten Tags: Es werden nur Daten von Assets mit den angegebenen Tags übertragen
Hinweis
Derzeit können nur Daten von Endpunkten und Container-Clustern, die mit den ausgewählten Tags versehen sind, in die Splunk Cloud übertragen werden.Sie können maximal 20 Tags auswählen.
-
- Klicken Sie auf Verbindung testen, um zu überprüfen, ob die Einstellungen gültig sind.
- Klicken Sie auf Connect.Der Splunk HEC-Server erscheint auf dem Splunk HEC Connector (SaaS/Cloud)-Bildschirm.
- Sie können die vorherigen Schritte wiederholen, um mehrere Splunk HEC-Server mit ihren eigenen Datenquellenkonfigurationen hinzuzufügen.
- Sie können die Symbole
oder 
verwenden, um einen Server vom Bildschirm Splunk HEC Connector (SaaS/Cloud) zu ändern oder zu löschen.