Splunk HECコネクタの設定

手順

1. Workflow and Automation → Third-Party Integration
2. クリックSplunk HECコネクタ (SaaS/クラウド) 。
3. [+ Connect Splunk HEC Server] をクリックします。
   [Splunk HECサーバ接続] ウィンドウが表示されます。
4. [Splunk HECサーバ接続] パネルで接続設定を行います。

   設定	説明
   ファイアウォールの除外	Trend Vision One が Splunk HEC サーバと通信できるようにするには、[Splunk HECサーバ接続] ウィンドウに表示される FQDN/IP アドレスをファイアウォールの例外に追加してください。
   サーバアドレス	Splunk HECサーバのIPアドレスまたはFQDNを指定してください。
   形式	転送されるデータの形式を指定してください。 注意 Splunk HEC コネクタ (SaaS/クラウド) は JSON 形式のみをサポートします。
   プロトコル	リストから接続プロトコルを選択してください。
   ポート	接続するポートを選択してください。 初期設定のポート設定: HTTP: 8088 HTTPS: 8088
   HEC トークン	Splunk HTTP Event Collector トークンを指定してください。
   CA証明書を使用	CA証明書を使用してSplunk HECサーバに接続するには、[CA証明書を使用]を選択できます。
   サーバでクライアント認証を要求	クライアント認証証明書を要求するには、[サーバでクライアント認証を要求]を選択できます。

5. 次の中から選択して、Splunk Cloudに送信するデータの範囲を設定します:
   • Workbenchアラート
   • イベント
     • Observed Attack Techniques (イベントの重大度を指定する必要があります)
     • すべての検出
   • コンテナの脆弱性
   • アクティビティデータ (スコープの指定が必要)

     注意 アクティビティデータの送信にはTrend Vision Oneクレジットが必要です。アクティビティデータ転送のデータ許容量を設定し、クレジットの割り当てを管理するには、Credit Usageアプリを使用してください。

6. [テスト接続] をクリックして、設定が有効かどうかを確認します。
7. [接続] をクリックします。
   Splunk HEC サーバは[Splunk HECコネクタ (SaaS/クラウド)]画面に表示されます。
8. 前の手順を繰り返して、独自のデータソース構成を持つ複数のSplunk HECサーバーを追加できます。
9. または アイコンを使用して、[Splunk HECコネクタ (SaaS/クラウド)] 画面からサーバを変更または削除できます。