ビュー:

すべてのXDRデータをSplunkダッシュボードに直接表示します。

注意
注意
  • 次の手順は、Splunk Server Enterprise 9.0.0、9.1.0、および9.2.0リリースに基づいています。別のバージョンのSplunkを使用している場合は、Splunkの設定が異なることがあります。ご使用のバージョンに関する詳細については、Splunkのドキュメントを参照してください。
  • Splunk Appをアップグレードとしてインストールする場合、Appは古いバージョンの有効な設定を自動的に適用し、Splunkの [データ入力] 設定を無効にします。

手順

  1. Trend Vision One コンソールで、 [エンドポイントURL][認証トークン]を取得します。
    1. Workflow and AutomationThird-Party Integration
    2. [Splunk XDR]を選択します。
    3. コピーアイコン (copyicon=GUID-BD854E6D-5EB9-4181-BE68-D5F743237995=1=ja-jp=Low.jpg ) をクリックして次の情報を取得します。
      • [エンドポイントURL]
      • [認証トークン]
    4. (オプション) 認証トークンの有効期限が切れているか存在しない場合は、 [生成] をクリックし、 [APIキーの設定] ウィンドウに必要な情報を入力して新しいトークンを追加します。
  2. を検索してインストールします。 Trend Vision One for Splunk (XDR)からのアプリSplunkbase
  3. アプリをインストールしたら、[アプリ]Trend Vision One for Splunk (XDR) Spunkコンソールで
    SplunkConsoleAppsTrendMicroVisionOneEntry=GUID-C781FCFF-0A9B-42BA-AAFE-5FA84786EDA7=1=ja-jp=Low.png
  4. アカウントを設定します。
    1. に移動[設定][アカウント]
    2. 編集アイコン (SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png ) をクリックして、設定を変更します。
    3. Trend Vision One コンソールから取得した [エンドポイントURL][認証トークン] を貼り付けます。認証トークンが複数ある場合は、セミコロンで区切ります。
    4. [アップデート]
    5. (オプション) に移動します。[設定][プロキシ]をクリックし、必要に応じて次の情報を入力します。
      • [HTTPS Proxy Address]
      • [Retry Interval]
    6. [保存] をクリックします。
  5. (オプション) 新しいアカウントを追加します。
    1. [Add]
    2. [アカウント名] を入力し、 Trend Vision One コンソールから [エンドポイントURL][認証トークン] を貼り付けます。
    3. [Add]
  6. Splunkで使用するデータ入力を設定します。
    1. メニューバーの [Inputs] に移動します。
    2. [ステータス]で、トグルを使用して各データ入力を有効または無効にします。
    3. 編集アイコン (SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png ) をクリックして、データ入力の設定を行います。
    4. データ入力に次の情報を入力します。
      • 名前
      • [Interval]
      • [Index]
      • [Global account]
    5. [アップデート]
  7. (オプション) 新しいデータ入力を追加します。
    1. [Create New Input]をクリックします。
    2. 次からデータ入力を選択します。
      • Trend Vision One Workbenchのアラート
      • Trend Vision One Observed Attack Techniques
      • Trend Vision One Audit Logs
      • Trend Vision One 検出
    3. [名前][Interval]、および [Index]を入力し、データ入力として [Global account] を選択します。
      注意
      注意
      [ Observed Attack Techniques]データ入力タイプでは、さらに [リスクレベル]を選択する必要があり、指定したレベル以上のリスクレベルを持つすべてのイベントが同期されます。 [undefined][info]、または [低] を選択すると、大量のデータ転送が発生する可能性があります。
    4. [Add]
    Splunkアプリが正常にインストールされると、Splunkは Trend Vision OneからXDRデータの収集を開始します。 Splunkは、 Trend Vision Oneへの接続後に生成されたXDRデータのみを収集できます。新しいXDRデータが表示されるまで、しばらく時間がかかることがあります。