配置連接器以啟用與 Splunk 雲端共享 TrendAI Vision One™ XDR 資料。
Splunk HEC 連接器利用 HTTP 事件收集器將 XDR 資料防護傳送到 Splunk 雲端。該連接器支援連接到多個 Splunk 雲端實例。
步驟
- 在TrendAI Vision One™中,前往。
- 找到並按一下「Splunk HEC Connector (SaaS/Cloud)」卡片。
- 點選+ Connect Splunk HEC Server。Splunk HEC Server Connection 視窗出現。
- 在 Splunk HEC Server Connection 面板中配置連接設定。設定說明防火牆例外為確保 TrendAI Vision One™ 能夠與您的 Splunk HEC 伺服器通信,請將 Splunk HEC Server Connection 面板中顯示的任何 FQDN/IP 位址新增到您的防火牆例外項目中。伺服器位址請指定您 Splunk HEC 伺服器的 IP 位址或 FQDN。格式指定傳輸資料的格式。
注意
Splunk HEC 連接器 (SaaS/雲端) 僅支援 JSON 格式。通訊協定從列表中選擇一個通訊協定。通訊埠選擇連接的端口。預設埠設定:-
HTTP: 8088
-
HTTPS:8088
HEC 代幣指定 Splunk HTTP 事件收集器令牌。使用 CA 憑證要使用 CA 憑證連接到您的 Splunk HEC 伺服器,您可以選擇Use CA certificate。伺服器需要客戶端驗證若要要求用戶端驗證憑證,您可以選擇Server requires client authentication。 -
- 透過從以下選項中選擇來配置要發送到 Splunk 雲端的資料範圍:
-
Workbench警報
-
觀察到的攻擊技術(需要指定事件嚴重性)
-
所有標準偵測
注意
Observed Attack Techniques 是標準偵測的一個子集。為避免重複的資料傳輸,您一次只能選擇一種資料類型。 -
Container Security - 自訂規則偵測
-
活動資料(需要指定範圍)
-
容器弱點
注意
由於容器弱點資料可能非常龐大,TrendAI™ 建議將 Splunk 的 TRUNCATE 設定從預設的 10,000 更改為 100,000。欲了解有關 TRUNCATE 設定的詳細資訊,請查閱 Splunk 官方文件。 -
裝置弱點
注意
由於容器裝置資料的潛在大容量,TrendAI™ 建議將 Splunk 的 TRUNCATE 設定從預設的 10,000 更改為 100,000。欲了解有關 TRUNCATE 設定的詳細資訊,請查閱 Splunk 官方文件。
注意
傳送自訂規則偵測和活動資料需要 TrendAI™ Flex 點數。在 Platform Usage and Credits 應用程式中 配置資料防護配額並管理點數使用。下表列出了由 Splunk 捕獲為事件時間的 TrendAI Vision One™ XDR 資料防護中的欄位名稱。資料防護類型欄位名稱Workbench警報更新時間觀察到的攻擊技術偵測時間所有標準偵測eventTimeContainer Security - 自訂規則偵測eventTime活動資料防護eventTime容器弱點掃描時間裝置弱點掃描時間例如,您可以在 Splunk 中配置以下內容:TIME_PREFIX = ("eventTime":\s*)|("scantime":\s*)|("updatedTime":\s*)|("detectionTime":\s*)如需進一步的 Splunk 問題,請諮詢您的 Splunk 技術支援中心。 -
- 選取收集指定資料的資產。
-
所有資產:所有資產的資料防護已傳輸
-
具有選定標籤的資產:僅傳輸具有指定標籤的資產中的資料
注意
目前,只有標記了所選標籤的端點和容器叢集的資料可以傳輸到 Splunk 雲端。您最多可以選擇 20 個標籤。
-
- 點選Test Connection以驗證設定是否有效。
- 點選連線。Splunk HEC 伺服器顯示在 Splunk HEC Connector (SaaS/Cloud) 畫面上。
- 您可以重複前面的步驟,添加多個具有其自身資料防護源配置的 Splunk HEC 伺服器。
- 您可以使用
或 
圖示來修改或刪除 Splunk HEC Connector (SaaS/Cloud) 畫面中的伺服器。