配置連接器以啟用與 Splunk 雲端共享 Trend Vision One XDR 資料。

Splunk HEC 連接器利用 HTTP 事件收集器將 XDR 資料防護傳送到 Splunk 雲端。該連接器支援連接到多個 Splunk 雲端實例。

步驟

  1. 在 Trend Vision One 控制台中,前往 工作流程和自動化Third-Party Integration
  2. 點選Splunk HEC Connector (SaaS/Cloud)
  3. 點選+ Connect Splunk HEC Server
    Splunk HEC Server Connection 視窗出現。
  4. Splunk HEC Server Connection 面板中配置連接設定。
    設定
    說明
    防火牆例外
    為確保 Trend Vision One 能夠與您的 Splunk HEC 伺服器通信,請將 Splunk HEC Server Connection 面板中顯示的任何 FQDN/IP 位址新增到您的防火牆例外項目中。
    伺服器位址
    請指定您 Splunk HEC 伺服器的 IP 位址或 FQDN。
    格式
    指定傳輸資料的格式。
    注意
    注意
    Splunk HEC 連接器 (SaaS/雲端) 僅支援 JSON 格式。
    通訊協定
    從列表中選擇一個通訊協定。
    通訊埠
    選擇連接的端口。
    預設埠設定:
    • HTTP: 8088
    • HTTPS:8088
    HEC 代幣
    指定 Splunk HTTP 事件收集器令牌。
    使用 CA 憑證
    要使用 CA 憑證連接到您的 Splunk HEC 伺服器,您可以選擇Use CA certificate
    伺服器需要客戶端驗證
    若要要求用戶端驗證憑證,您可以選擇Server requires client authentication
  5. 透過從以下選項中選擇來配置要發送到 Splunk 雲端的資料範圍:
    • 工作台警報
    • 事件
      • 觀察到的攻擊技術(需要指定事件嚴重性)
      • 所有偵測
    • 容器弱點
      注意
      注意
      由於容器弱點資料的潛在大尺寸,趨勢科技建議將 Splunk 的 TRUNCATE 設定從預設的 10,000 更改為 100,000。欲了解有關 TRUNCATE 設定的詳細資訊,請查閱 Splunk 官方文件。
    • 活動資料(需要指定範圍)
      注意
      注意
      傳送活動資料需要 Trend Vision One 點數。在 Credits & Billing 應用程式中配置傳輸活動資料的資料配額並管理點數分配
  6. 選取收集指定資料的資產。
    • 所有資產:所有資產的資料防護已傳輸
    • 具有選定標籤的資產:僅傳輸具有指定標籤的資產中的資料
      注意
      注意
      目前,只有標記了所選標籤的端點和容器叢集的資料可以傳輸到 Splunk 雲端。
      您最多可以選擇 20 個標籤。
  7. 點選Test Connection以驗證設定是否有效。
  8. 點選連線
    Splunk HEC 伺服器顯示在 Splunk HEC Connector (SaaS/Cloud) 畫面上。
  9. 您可以重複前面的步驟,添加多個具有其自身資料防護源配置的 Splunk HEC 伺服器。
  10. 您可以使用 edit_icon=GUID-1F1D1164-5310-4D6D-ACD0-6049C86960AF.pngtrash_icon=GUID-47cf6867-6315-438e-8670-86ff36f22a28.png 圖示來修改或刪除 Splunk HEC Connector (SaaS/Cloud) 畫面中的伺服器。