直接在 Splunk 資訊中心查看您所有的 XDR 資料防護。
在單一實例的 Splunk 部署中,請在該實例上安裝 TrendAI Vision One™ for Splunk (XDR) 應用程式。在分散式 Splunk 部署中,請在以下 Splunk Enterprise 實例上安裝該應用程式:
-
搜尋主機(或搜尋主機叢集成員):配置介面、儀表板和搜尋時欄位擷取所需。
-
重型轉發器(資料收集節點):需要運行資料輸入,通過 API 從 TrendAI Vision One™ 收集 XDR 資料。此應用程式使用模組化輸入來收集資料,僅在完整的 Splunk Enterprise 實例上運行。通用轉發器不支援這些資料輸入。
-
索引器:不需要。在資料收集過程中,資料輸入會從重型轉發器上的 JSON 資料中提取欄位,因此事件到達索引器時已經解析完畢。
請注意,以下指示是基於 Splunk Server Enterprise 9.0.0、9.1.0 和 9.2.0 版本。若您使用不同版本的 Splunk,Splunk
設定可能會有所不同。請參閱 Splunk 文件以獲取與您版本相關的具體資訊。如果您是以升級方式安裝 Splunk 應用程式,該應用程式會自動套用舊版本中的任何有效設定,並停用
Splunk 中的資料防護輸入設定。
步驟
- 在 TrendAI Vision One™ 主控台中,取得 「Endpoint URL」 和 「Authentication token」:
- 前往。
- 找到並按一下「Splunk XDR」卡片。
- 使用複製圖示(
)來獲取以下資訊:-
Endpoint URL
-
Authentication token
-
- 如果驗證令牌已過期或不存在,請點擊「產生」,並在「API Key Settings」窗口中輸入所需信息以添加新令牌。
- 從Splunkbase搜尋並安裝 Splunk (XDR) 應用程式的TrendAI Vision One™。
- 安裝應用程式後,請在 Spunk 主控台中移至。
- 配置下列帳號設定:
- 前往。
- 使用每個帳戶旁的編輯圖示(
)來修改其設定。 - 將從TrendAI Vision One™控制台獲得的Endpoint URL和Authentication token貼上。如果您有多個驗證令牌,請用分號分隔它們。
- 請點選「更新」。
- 選擇性地,前往,並根據需要輸入以下資訊:
-
HTTPS Proxy Address
-
Retry Interval
-
- 按一下「儲存」。
- (可選)新增一個帳戶:
- 請點擊新增。
- 輸入Account name並從TrendAI Vision One™控制台貼上Endpoint URL和Authentication token。
- 請點擊新增。
- 配置 Splunk 使用的資料防護輸入:
- 前往選單列中的Inputs。
- 在狀態下,使用切換開關來啟用或關閉每個資料輸入。
- 使用編輯圖示 ( ) 來配置資料輸入的設定。
- 請輸入以下資料防護信息:
-
Name
-
Interval
-
Index
-
Global account
-
- 請點選「更新」。
- (選擇性)新增資料輸入:
- 點選Create New Input。
- 從以下選擇資料輸入:
-
TrendAI Vision One™ Workbench警報
-
TrendAI Vision One™ 觀察到的攻擊技術
-
TrendAI Vision One™ 審計日誌
-
TrendAI Vision One™ 偵測
-
- 輸入Name、Interval和Index,並選擇Global account作為資料防護輸入。觀察到的攻擊技術資料輸入類型還需要您選擇一個Risk level,並同步所有風險等級等於或高於指定等級的事件。選擇undefined、info或low可能會導致大量資料傳輸。
- 請點擊新增。
成功安裝 Splunk 應用程式後,Splunk 會開始從 TrendAI Vision One™ 收集 XDR 資料防護。Splunk 只能收集連接到 TrendAI Vision One™ 後產生的 XDR 資料防護。您可能需要等待一段時間,新的 XDR 資料防護才會開始出現。Splunk 主控台中的 「偵測」 畫面僅提供來自 XDR 資料的有限偵測資料欄位。若要存取更詳細的偵測資訊,請前往 「搜尋」 畫面,並使用支援的 Splunk 語法(例如source="trendmicro_v1_detection"|table _time,_raw)執行查詢。這樣您就可以查看來自 TrendAI Vision One™ 的完整偵測資料。