Splunk XDR 整合

步驟

1. 在 TrendAI Vision One™ 主控台中，取得 「Endpoint URL」 和 「Authentication token」。
   1. 前往Workflow and Automation → Third-Party Integrations。
   2. 找到並按一下「Splunk XDR」卡片。
   3. 使用複製圖示 () 來獲取以下資訊：
      • Endpoint URL
      • Authentication token
   4. （可選）如果驗證令牌已過期或不存在，請點選Generate，並在API Key Settings視窗中輸入所需資訊以新增新的令牌。
2. Search for and install the TrendAI Vision One™ for Splunk (XDR) app from Splunkbase.
3. 安裝應用程式後，請在 Spunk 主控台中移至「應用程式」 → 「TrendAI Vision One™ for Splunk (XDR)」。

   

4. 設定帳號設定。
   1. 前往Configuration → Accounts。
   2. 使用每個帳戶旁邊的編輯圖示 () 來修改其設定。
   3. 將從TrendAI Vision One™控制台獲得的Endpoint URL和Authentication token貼上。如果您有多個驗證令牌，請用分號分隔它們。
   4. 請點選「更新」。
   5. （可選）前往Configuration → Proxy，並根據需要輸入以下信息：
      • HTTPS Proxy Address
      • Retry Interval
   6. 按一下「儲存」。
5. （可選）新增帳戶。
   1. 請點擊新增。
   2. 輸入Account name並從TrendAI Vision One™控制台貼上Endpoint URL和Authentication token。
   3. 請點擊新增。
6. 配置 Splunk 使用的資料防護輸入。
   1. 前往選單列中的Inputs。
   2. 在狀態下，使用切換開關來啟用或關閉每個資料輸入。
   3. 使用編輯圖示 () 來配置資料輸入的設定。
   4. 請輸入以下資料防護信息：
      • Name
      • Interval
      • Index
      • Global account
   5. 請點選「更新」。
7. （可選）新增資料防護輸入。
   1. 點選Create New Input。
   2. 從以下選擇資料輸入：
      • TrendAI Vision One™ Workbench警報
      • TrendAI Vision One™ 觀察到的攻擊技術
      • TrendAI Vision One™ 審計日誌
      • TrendAI Vision One™ 偵測
   3. 輸入Name、Interval和Index，並選擇Global account作為資料防護輸入。

      注意 觀察到的攻擊技術資料輸入類型還需要您選擇一個Risk level，並同步所有風險等級等於或高於指定等級的事件。選擇undefined、info或low可能會導致大量資料傳輸。

   4. 請點擊新增。
   成功安裝 Splunk 應用程式後，Splunk 會開始從 TrendAI Vision One™ 收集 XDR 資料防護。Splunk 只能收集連接到 TrendAI Vision One™ 後產生的 XDR 資料防護。您可能需要等待一段時間，新的 XDR 資料防護才會開始出現。

   注意 Splunk 主控台中的 「偵測」 畫面僅提供來自 XDR 資料的有限偵測資料欄位。若要存取更詳細的偵測資訊，請前往 「搜尋」 畫面，並使用支援的 Splunk 語法（例如 source="trendmicro_v1_detection"|table _time,_raw）執行查詢。這樣您就可以查看來自 TrendAI Vision One™ 的完整偵測資料。