配置連接器以啟用與 Splunk 雲端共享 Trend Vision One XDR 資料。
Splunk HEC 連接器利用 HTTP 事件收集器將 XDR 資料防護傳送到 Splunk 雲端。該連接器支援連接到多個 Splunk 雲端實例。
步驟
- 前往。
- 點選Splunk HEC Connector (SaaS/Cloud)。
- 點選+ Connect Splunk HEC Server。Splunk HEC Server Connection 視窗出現。
- 在 Splunk HEC Server Connection 面板中配置連接設定。設定說明防火牆例外為確保 Trend Vision One 能夠與您的 Splunk HEC 伺服器通信,請將 Splunk HEC Server Connection 視窗中顯示的任何 FQDN/IP 位址新增到您的防火牆例外項目中。伺服器位址請指定您 Splunk HEC 伺服器的 IP 位址或 FQDN。格式指定傳輸資料的格式。
注意
Splunk HEC 連接器 (SaaS/雲端) 僅支援 JSON 格式。通訊協定從列表中選擇一個通訊協定。通訊埠選擇連接的端口。預設埠設定:-
HTTP: 8088
-
HTTPS:8088
HEC 代幣指定 Splunk HTTP 事件收集器令牌。使用 CA 憑證要使用 CA 憑證連接到您的 Splunk HEC 伺服器,您可以選擇Use CA certificate。伺服器需要客戶端驗證若要要求用戶端驗證憑證,您可以選擇Server requires client authentication。 -
- 透過從以下選項中選擇來配置要發送到 Splunk 雲端的資料範圍:
-
工作台警報
-
事件
-
觀察到的攻擊技術(需要指定事件嚴重性)
-
所有偵測
-
-
容器弱點
-
活動資料(需要指定範圍)
注意
傳送活動資料需要 Trend Vision One 點數。在 Credits & Billing 應用程式中配置傳輸活動資料的資料配額並管理點數分配。
-
- 點選Test Connection以驗證設定是否有效。
- 點選連線。Splunk HEC 伺服器顯示在 Splunk HEC Connector (SaaS/Cloud) 畫面上。
- 您可以重複前面的步驟,添加多個具有其自身資料防護源配置的 Splunk HEC 伺服器。
- 您可以使用
或 
圖示來修改或刪除 Splunk HEC Connector (SaaS/Cloud) 畫面中的伺服器。