Splunk HECコネクタの設定 · Customer Self-Service

ビュー:

コネクタを構成して、Trend Vision One XDRデータをSplunk Cloudと共有できるようにします。

Splunk HECコネクタは、HTTPイベントコレクタを使用してXDRデータをSplunk Cloudに送信します。コネクタは、複数のSplunk Cloudインスタンスへの接続をサポートします。

Trend Vision Oneで、Workflow and Automation → Third-Party Integrationsに移動します。
[Splunk HECコネクタ (SaaS/クラウド)]をクリックします。
[+ Connect Splunk HEC Server] をクリックします。

[Splunk HECサーバ接続] ウィンドウが表示されます。

[Splunk HECサーバ接続] パネルで接続設定を行います。

設定

説明

ファイアウォールの除外

Trend Vision OneがSplunk HECサーバと通信できるようにするには、[Splunk HECサーバ接続]パネルに表示されるFQDN/IPアドレスをファイアウォールの例外に追加してください。

サーバアドレス

Splunk HECサーバのIPアドレスまたはFQDNを指定してください。

形式

転送されるデータの形式を指定してください。

Splunk HEC コネクタ (SaaS/クラウド) は JSON 形式のみをサポートします。

プロトコル

リストから接続プロトコルを選択してください。

ポート

接続するポートを選択してください。

初期設定のポート設定:

HEC トークン

Splunk HTTP Event Collector トークンを指定してください。

CA証明書を使用

CA証明書を使用してSplunk HECサーバに接続するには、[CA証明書を使用]を選択できます。

サーバでクライアント認証を要求

クライアント認証証明書を要求するには、[サーバでクライアント認証を要求]を選択できます。

次の中から選択して、Splunk Cloudに送信するデータの範囲を設定します:

Workbenchアラート
Observed Attack Techniques (イベントの重大度を指定する必要があります)
すべての標準検出

注意

Observed Attack Techniquesは標準検出のサブセットです。重複したデータ転送を避けるために、一度に1つのデータタイプのみを選択できます。
Container Security - カスタムルール検出
アクティビティデータ (スコープの指定が必要)

コンテナの脆弱性

コンテナの脆弱性データのサイズが大きくなる可能性があるため、トレンドマイクロはSplunkのTRUNCATE設定をデフォルトの10,000から100,000に変更することを推奨します。TRUNCATE設定の詳細については、Splunk公式ドキュメントを確認してください。

カスタムルールの検出とアクティビティデータの送信にはTrend Vision OneCreditsが必要です。[Credits & Billing]アプリでデータ許容量を設定し、Creditsの割り当てを管理してください。

次の表は、Trend Vision One XDRデータでSplunkによってイベント時間としてキャプチャされたフィールド名を一覧にしています。

データタイプ	フィールド名
Workbenchアラート	更新時間
Observed Attack Techniques	検出時間
すべての標準検出	eventTime
Container Security - カスタムルール検出	eventTime
活動データ	eventTime
コンテナの脆弱性	スキャン時間

例えば、Splunkで以下を設定できます:

TIME_PREFIX = ("eventTime":\s*)|("scantime":\s*)|("updatedTime":\s*)|("detectionTime":\s*)

Splunkに関するさらなる質問については、Splunkサポートにお問い合わせください。

指定されたデータが収集されるアセットを選択してください。

選択されたタグのアセット: 指定されたタグを持つアセットのデータのみが転送されます

現在、選択したタグが付けられたエンドポイントおよびコンテナクラスタからのデータのみがSplunk Cloudに転送されます。

最大20のタグを選択できます。