Splunk HECコネクタの設定

Splunk HECコネクタを設定して、 XDRデータをSplunk Cloudと共有します。

重要:

これは「プレリリース」機能であり、公式リリースとは見なされません。この機能を使用する前に、 リリース前の免責事項 を確認してください。

Splunk HECコネクタは、HTTPイベントコレクタを使用してXDRデータをSplunk Cloudに送信します。コネクタは、複数のSplunk Cloudインスタンスへの接続をサポートします。

  1. Workflow and Automation > Third-Party Integrationに移動します。
  2. Splunk HEC Connector(SaaS /クラウド)をクリックします。
  3. 統合を有効または無効にするには、切り替えボタンをクリックします。
  4. データの範囲を設定します。

    • Workbenchアラートにアラートを送信

    • Observed Attack Techniques

      • リスクレベル

  5. Trend Micro Vision OneとSplunk HECサーバ間の接続を設定します。
    1. Splunk HECサーバの接続をクリックします。
    2. Splunk HECサーバ接続パネルで接続を設定します。

      設定

      説明

      ファイアウォールの除外

      Trend Micro Vision OneがSplunk HECサーバと適切に通信できるようにするには、ファイアウォールで適切な「許可」ルールを設定します。

      サーバアドレス

      Splunk HECサーバのIPアドレスまたはFQDN

      形式

      データ形式

      注:

      Splunk HECコネクタ(SaaS /クラウド)は現在、JSONのみをサポートしています。

      プロトコル

      接続プロトコル

      Port

      初期設定のポート設定:

      • SSL / TLS:6514

      • TCP:601

      • UDP:514

      HECトークン

      Splunkイベントコレクタトークン

      CA証明書を使用

      Splunk HECサーバへの接続に使用するCA証明書をアップロードします。

      サーバでクライアント認証を要求

      クライアント認証証明書をアップロードします。
    3. (オプション)接続テストをクリックして、設定が有効かどうかを確認します。
    4. 接続をクリックします。
  6. 前の手順を繰り返して、この統合に複数の接続設定を追加します。
  7. 保存をクリックします。
親トピック: Third-Party Integration