ビュー:

すべてのXDRデータをSplunkダッシュボードに直接表示します。

単一インスタンスのSplunk展開では、そのインスタンスにSplunk (XDR) アプリのTrendAI Vision One™をインストールします。分散型Splunk展開では、次のSplunk Enterpriseインスタンスにアプリをインストールします。
  • 検索ヘッド (または検索ヘッドクラスターのメンバー): 構成インターフェース、ダッシュボード、および検索時のフィールド抽出に必要です。
  • ヘビーフォワーダー (データ収集ノード): APIを介してTrendAI Vision One™からXDRデータを収集するデータ入力を実行するために必要です。このアプリは、モジュラー入力を使用してデータを収集し、これらは完全なSplunk Enterpriseインスタンスでのみ実行されます。ユニバーサルフォワーダーはこれらのデータ入力をサポートしていません。
  • インデクサー: 必要ありません。データ入力は収集中にヘビーフォワーダー上のJSONデータからフィールドを抽出するため、イベントはすでに解析された状態でインデクサーに到着します。
以下の指示は、SplunkサーバEnterprise 9.0.0、9.1.0、および9.2.0リリースに基づいています。異なるバージョンのSplunkを使用している場合、Splunkの設定が異なる可能性があります。ご使用のバージョンに関連する具体的な情報については、Splunkのドキュメントを参照してください。Splunkアプリをアップグレードとしてインストールする場合、アプリは古いバージョンからの有効な設定を自動的に適用し、Splunkのデータ入力設定を無効にします。

手順

  1. TrendAI Vision One™ コンソールで、[エンドポイントURL][認証トークン]を取得します。
    1. Workflow and AutomationThird-Party Integrations
    2. [[Splunk XDR]] カードを参照して、クリックします。
    3. 次の情報を取得するにはコピーアイコン (copyicon=GUID-BD854E6D-5EB9-4181-BE68-D5F743237995=1=ja-jp=Low.jpg) を使用してください。
      • [エンドポイントURL]
      • [認証トークン]
    4. 認証トークンが期限切れまたは存在しない場合は、[生成]をクリックし、[APIキーの設定]ウィンドウで必要な情報を入力して新しいトークンを追加します。
  2. SplunkbaseからSplunk (XDR) アプリ用のTrendAI Vision One™を検索してインストールしてください。
  3. アプリをインストールしたら、Spunkコンソールで、[アプリ][TrendAI Vision One™ for Splunk (XDR)] の順に選択します。
    SplunkConsoleAppsTrendMicroVisionOneEntry=GUID-C781FCFF-0A9B-42BA-AAFE-5FA84786EDA7=1=ja-jp=Low.png
  4. アカウントの設定に移ります。
    1. [Configuration][アカウント]に移動します。
    2. 各アカウントの設定を変更するには、アカウントの横にある編集アイコン (SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png) を使用してください。
    3. TrendAI Vision One™ コンソールから取得した [エンドポイントURL][認証トークン] を貼り付けます。認証トークンが複数ある場合は、セミコロンで区切ります。
    4. [アップデート]
    5. 必要に応じて、[設定][プロキシの設定]に移動し、必要に応じて次の情報を入力してください。
      • [HTTPS Proxy Address]
      • [Retry Interval]
    6. [保存] をクリックします。
  5. オプションで、新しいアカウントを追加します:
    1. [Add]
    2. [アカウント名] を入力し、 TrendAI Vision One™ コンソールから [エンドポイントURL][認証トークン] を貼り付けます。
    3. [Add]
  6. Splunkで使用されるデータ入力を構成する:
    1. メニューバーの [Inputs] に移動します。
    2. [ステータス]で、トグルを使用して各データ入力を有効または無効にします。
    3. データ入力の設定を構成するには、編集アイコン (SplunkConsoleEdit=1515285c-3d50-4b30-9e72-7a6be45e399d.png) を使用します。
    4. データ入力に次の情報を入力します。
      • 名前
      • [Interval]
      • [Index]
      • [Global account]
    5. [アップデート]
  7. オプションで、新しいデータ入力を追加:
    1. [Create New Input]をクリックします。
    2. 次からデータ入力を選択します。
      • TrendAI Vision One™ Workbenchのアラート
      • TrendAI Vision One™ Observed Attack Techniques
      • TrendAI Vision One™ Audit Logs
      • TrendAI Vision One™ 検出
    3. [名前][Interval]、および [Index]を入力し、データ入力として [Global account] を選択します。
      [ Observed Attack Techniques]データ入力タイプでは、さらに [リスクレベル]を選択する必要があり、指定したレベル以上のリスクレベルを持つすべてのイベントが同期されます。 [undefined][info]、または [低] を選択すると、大量のデータ転送が発生する可能性があります。
    4. [Add]
    Splunkアプリが正常にインストールされると、Splunkは TrendAI Vision One™からXDRデータの収集を開始します。 Splunkは、 TrendAI Vision One™への接続後に生成されたXDRデータのみを収集できます。新しいXDRデータが表示されるまで、しばらく時間がかかることがあります。
    Splunkコンソールの[検出]画面では、XDRデータからの検出データフィールドの限られたセットのみが提供されます。より詳細な検出情報にアクセスするには、[検索]画面に移動し、source="trendmicro_v1_detection"|table _time,_rawのようなサポートされているSplunk構文を使用してクエリを実行してください。これにより、TrendAI Vision One™から利用可能な完全な検出データを表示することができます。