コネクタを構成して、Trend Vision One XDRデータをSplunk Cloudと共有できるようにします。
Splunk HECコネクタは、HTTPイベントコレクタを使用してXDRデータをSplunk Cloudに送信します。コネクタは、複数のSplunk Cloudインスタンスへの接続をサポートします。
手順
- クリックSplunk HECコネクタ (SaaS/クラウド) 。
- [+ Connect Splunk HEC Server] をクリックします。[Splunk HECサーバ接続] ウィンドウが表示されます。
- [Splunk HECサーバ接続] パネルで接続設定を行います。設定説明ファイアウォールの除外Trend Vision One が Splunk HEC サーバと通信できるようにするには、[Splunk HECサーバ接続] ウィンドウに表示される FQDN/IP アドレスをファイアウォールの例外に追加してください。サーバアドレスSplunk HECサーバのIPアドレスまたはFQDNを指定してください。形式転送されるデータの形式を指定してください。
注意
Splunk HEC コネクタ (SaaS/クラウド) は JSON 形式のみをサポートします。プロトコルリストから接続プロトコルを選択してください。ポート接続するポートを選択してください。初期設定のポート設定:-
HTTP: 8088
-
HTTPS: 8088
HEC トークンSplunk HTTP Event Collector トークンを指定してください。CA証明書を使用CA証明書を使用してSplunk HECサーバに接続するには、[CA証明書を使用]を選択できます。サーバでクライアント認証を要求クライアント認証証明書を要求するには、[サーバでクライアント認証を要求]を選択できます。 -
- 次の中から選択して、Splunk Cloudに送信するデータの範囲を設定します:
-
Workbenchアラート
-
イベント
-
Observed Attack Techniques (イベントの重大度を指定する必要があります)
-
すべての検出
-
-
コンテナの脆弱性
-
アクティビティデータ (スコープの指定が必要)
注意
アクティビティデータの送信にはTrend Vision OneCreditsが必要です。アクティビティデータ転送のデータ許容量を設定し、Creditsの割り当てを管理するには[Credits & Billing]アプリを使用してください。
-
- [テスト接続] をクリックして、設定が有効かどうかを確認します。
- [接続] をクリックします。Splunk HEC サーバは[Splunk HECコネクタ (SaaS/クラウド)]画面に表示されます。
- 前の手順を繰り返して、独自のデータソース構成を持つ複数のSplunk HECサーバーを追加できます。
- または アイコンを使用して、[Splunk HECコネクタ (SaaS/クラウド)] 画面からサーバを変更または削除できます。