Ansichten:

Konfigurieren Sie den Connector, um das Teilen von Trend Vision One XDR-Daten mit Splunk Cloud zu ermöglichen.

Der Splunk HEC-Connector nutzt den HTTP Event Collector, um XDR-Daten an die Splunk Cloud zu senden. Der Connector unterstützt Verbindungen zu mehreren Splunk Cloud-Instanzen.

Prozedur

  1. Gehen Sie in Trend Vision One zu Workflow and AutomationThird-Party Integrations.
  2. Klicken Sie auf Splunk HEC Connector (SaaS/Cloud).
  3. Klicken Sie auf + Connect Splunk HEC Server.
    Das Fenster Splunk HEC Server Connection wird angezeigt.
  4. Konfigurieren Sie die Verbindungseinstellungen im Splunk HEC Server Connection-Panel.
    Einstellung
    Beschreibung
    Firewall-Ausnahmen
    Um sicherzustellen, dass Trend Vision One mit Ihrem Splunk HEC-Server kommunizieren kann, fügen Sie alle im Splunk HEC Server Connection-Panel angezeigten FQDN/IP-Adressen zu Ihren Firewall-Ausnahmen hinzu.
    Server-Adresse
    Geben Sie die IP-Adresse oder den FQDN für Ihren Splunk HEC-Server an.
    Format
    Geben Sie ein Format für die übertragenen Daten an.
    Hinweis
    Hinweis
    Splunk HEC Connector (SaaS/Cloud) unterstützt nur das JSON-Format.
    Protokoll
    Wählen Sie ein Verbindungsprotokoll aus der Liste aus.
    Port
    Einen Port für die Verbindung auswählen.
    Standardanschlusseinstellungen:
    • HTTP: 8088
    • HTTPS: 8088
    HEC-Token
    Geben Sie das Splunk HTTP Event Collector-Token an.
    CA-Zertifikat verwenden
    Um ein CA-Zertifikat zu verwenden, um eine Verbindung zu Ihrem Splunk HEC-Server herzustellen, können Sie Use CA certificate auswählen.
    Server erfordert Client-Authentifizierung
    Um ein Client-Authentifizierungszertifikat zu verlangen, können Sie Server requires client authentication auswählen.
  5. Konfigurieren Sie den Umfang der Daten, die an Splunk Cloud gesendet werden sollen, indem Sie aus Folgendem auswählen:
    • Workbench-Warnungen
    • Observed Attack Techniques (erfordert Angabe der Ereignisschwere)
    • Alle Standarderkennungen
      Hinweis
      Hinweis
      Observed Attack Techniques ist eine Teilmenge der Standarderkennungen. Um eine doppelte Datenübertragung zu vermeiden, können Sie jeweils nur einen der Datentypen auswählen.
    • Container Security - Benutzerdefinierte Regel-Erkennungen
    • Aktivitätsdaten (erfordert Angabe des Umfangs)
    • Container-Schwachstellen
      Hinweis
      Hinweis
      Aufgrund der potenziell großen Größe der Sicherheitslücken-Daten von Containern empfiehlt Trend Micro, die Splunk-TRUNCATE-Einstellung vom Standardwert 10.000 auf 100.000 zu ändern. Für weitere Informationen über die TRUNCATE-Einstellung lesen Sie die offizielle Splunk-Dokumentation.
    Hinweis
    Hinweis
    Das Senden von benutzerdefinierten Regel-Erkennungen und Aktivitätsdaten erfordert Trend Vision One Credits. Konfigurieren Sie das Datenkontingent und verwalten Sie die Kreditzuweisung in der Credits & Billing App.
    Die folgende Tabelle listet die Feldnamen in Trend Vision One XDR-Daten auf, die von Splunk als Ereigniszeit erfasst wurden.
    Datentyp
    Feldname
    Workbench-Warnungen
    aktualisierteZeit
    Observed Attack Techniques
    Erkennungszeit
    Alle Standarderkennungen
    Ereigniszeit
    Container Security - Benutzerdefinierte Regel-Erkennungen
    eventTime
    Aktivitätsdaten
    Ereigniszeit
    Container-Schwachstellen
    Scanzeit
    Zum Beispiel können Sie Folgendes in Splunk konfigurieren:
    TIME_PREFIX = ("eventTime":\s*)|("scantime":\s*)|("updatedTime":\s*)|("detectionTime":\s*)
    Für weitere Fragen zu Splunk wenden Sie sich bitte an Ihren Splunk-Support.
  6. Wählen Sie die Assets aus, von denen die angegebenen Daten gesammelt werden.
    • Alle Assets: Daten von allen Assets werden übertragen
    • Assets mit ausgewählten Tags: Es werden nur Daten von Assets mit den angegebenen Tags übertragen
      Hinweis
      Hinweis
      Derzeit können nur Daten von Endpunkten und Container-Clustern, die mit den ausgewählten Tags versehen sind, in die Splunk Cloud übertragen werden.
      Sie können maximal 20 Tags auswählen.
  7. Klicken Sie auf Verbindung testen, um zu überprüfen, ob die Einstellungen gültig sind.
  8. Klicken Sie auf Connect.
    Der Splunk HEC-Server erscheint auf dem Splunk HEC Connector (SaaS/Cloud)-Bildschirm.
  9. Sie können die vorherigen Schritte wiederholen, um mehrere Splunk HEC-Server mit ihren eigenen Datenquellenkonfigurationen hinzuzufügen.
  10. Sie können die Symbole edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.png oder trash_icon=GUID-47cf6867-6315-438e-8670-86ff36f22a28.png verwenden, um einen Server vom Bildschirm Splunk HEC Connector (SaaS/Cloud) zu ändern oder zu löschen.