檢視次數:

透過連接多個資料來源至網路風險暴露管理,在您組織的環境中獲得更多風險指標的存取權。

TrendAI Vision One™ 允許您將多個 TrendAI™ 或第三方資料來源連接到 Cyber Risk Exposure Management,以便更深入了解您組織的攻擊面、風險指標和弱點。您連接到 Cyber Risk Exposure Management 的資料來源越多,您對組織安全狀況的了解就越完整。
不同的資料來源在連接到Cyber Risk Exposure Management時有不同的要求。以下程序概述了連接資料來源所需的基本步驟。

步驟

  1. 移至「Cyber Risk Exposure ManagementContinuous Risk ManagementThreat and Exposure Management」。
  2. 按一下右上角的「Data sources」按鈕。
    秘訣
    秘訣
    您也可以透過點擊Cyber Risk OverviewAttack Surface Discovery中的按鈕來存取「Data sources」,或者前往「Workflow and Automation」「Data Source and Log Management」「CYBER RISK EXPOSURE MANAGEMENT」
    顯示由Cyber Risk Exposure Management支援的所有TrendAI™和第三方資料來源列表。點擊風險因素以突出顯示用於收集指定風險因素資料的資料來源。
  3. 尋找並點擊您希望連接的資料來源。螢幕上會顯示所需的資料權限以及指定資料來源的連接要求。
    重要
    重要
    您必須擁有點數、有效的授權或已建立的帳戶,才能連接到 TrendAI™ 或第三方資料來源。大多數 TrendAI™ 資料來源必須在對應的應用程式中進行配置、連接和管理。大多數第三方資料來源必須在 「Third-Party Integrations」 中進行配置、連接和管理,除非另有說明。一旦資料來源連接後,可能需要幾分鐘時間才能改變資料來源狀態。
    以下表格詳細說明Cyber Risk Exposure Management所支援的資料來源、從資料來源收集的資料類型以及連接方法。

    TrendAI Vision One™ XDR sensors

    來源
    資料防護已收集
    連接方式
    Endpoint Sensor
    使用者、應用程式和網路活動,以及受監控端點的安全弱點評估
    Endpoint Inventory中設定。
    電子郵件感測器
    Office 365 Exchange Online 中的電子郵件活動
    Email Asset Inventory中設定。
    網路感測器
    監控網路流量中的安全設定和網路活動
    注意
    注意
    目前,此資料來源包括虛擬網路感測器和 TippingPoint 網路感測器,但不包括 Deep Discovery Inspector 網路感測器。
    Network Inventory中部署虛擬網路感測器 / 啟用 TippingPoint 網路感測器於您的環境中。

    TrendAI™ 安全服務

    來源
    資料防護目標
    連接方式
    雲端電子郵件和協作保護
    從 Google Gmail 和 Microsoft Office 365 應用程式檢測到的威脅和安全設定。
    在 Product Instance 中配置 Cloud Email and Collaboration Protection。
    雲端電子郵件閘道保護
    電子郵件活動、安全設定以及受監控電子郵件域名上檢測到的威脅
    「Product Instance」中設定。
    伺服器與工作負載保護
    使用者、應用程式、網路活動以及在監控端點上檢測到的威脅
    在您的端點上安裝 TrendAI Vision One™ Endpoint Security 代理,並啟用 Server & Workload Protection 配置,然後在 Endpoint Inventory 中啟用端點感測器檢測和回應。
    Standard Endpoint Protection
    使用者、應用程式、網路活動、安全設定,以及在監控端點上偵測到的威脅
    在您的端點上安裝 TrendAI Vision One™ Endpoint Security 代理,並以 Standard Endpoint Protection 配置啟用端點感測器偵測和在 Endpoint Inventory 中的回應。
    TippingPoint 安全管理系統
    網路偵測日誌和過濾規則狀態
    1. 「Network Inventory」中連接TippingPoint。
    2. 確保您已安裝並配置服務閘道虛擬裝置。
    3. 在您的服務閘道上啟用以下功能:
      • 正向 Proxy
      • 日誌轉發
      • 可疑物件清單同步
      • TippingPoint 策略管理
    Cloud One - 端點 & 工作負載安全
    使用者、應用程式、網路活動、安全設定,以及在監控端點上檢測到的威脅
    將 Cloud One - Endpoint & Workload Security 連接到 Product Instance 中的 TrendAI Vision One™
    Apex One as a Service
    使用者、應用程式、網路活動以及在監控端點上檢測到的威脅
    TrendAI™ Apex One as a Service 連接到 Product Instance 中的 TrendAI Vision One™
    Apex One 本地部署
    受監控端點的安全設定和檢測到的威脅
    將您的TrendAI™ Apex One 本地伺服器連接到TrendAI™ Apex 中央管理伺服器,然後將您的TrendAI™ Apex 中央管理伺服器連接到 Product Instance 中的TrendAI Vision One™
    TrendAI™ Deep Discovery Inspector
    監控網路流量中的定向攻擊和高級威脅、網路安全配置資料以及詳細的網路活動
    注意
    注意
    目前,此資料來源包括 Deep Discovery Inspector 和 Deep Discovery Inspector Network Sensor。
    Network Inventory中部署並連接 Deep Discovery Inspector 設備,並在已連接的設備上啟用網路感測器。
    TrendAI™ Deep Security
    使用者、應用程式、網路活動以及在監控端點上檢測到的威脅
    「Product Instance」中設定。
    TrendAI™ Web 安全
    監控設備和使用者的網路活動及網路應用程式相關資料防護
    「Zero Trust Secure Access - Internet Access」已配置並部署時連接。
    TrendAI Vision One™ Container Security
    受監控的容器和映像檔上的弱點、檢測到的威脅和系統配置風險
    「Container Inventory」中設定。
    TrendAI Vision One™ Mobile Security
    在受監控的行動裝置上檢測到的公有雲應用程式、行動應用程式、威脅和使用者活動
    在 Mobile Inventory 中將行動代理部署到您管理的行動裝置。
    TrendAI Vision One™ Phishing Simulations
    有風險的使用者帳號和來自 Phishing Simulations 的資料外洩事件
    「Security Awareness」中設定。
    Zero Trust Secure Access - Internet Access
    使用者、裝置、安全威脅偵測和雲端應用程式活動至外部網路
    「Zero Trust Secure Access」中設定。
    Zero Trust Secure Access - Private Access
    使用者、裝置、安全威脅偵測以及來自您內部網路的內部應用程式活動
    「Zero Trust Secure Access」中設定。

    第三方資料來源

    來源
    已收集的資料或執行的功能
    連接方式
    Active Directory(內部部署)
    內部網路使用者和裝置資訊
    1. 移至「Workflow and AutomationThird-Party Integrations」。
    2. 尋找並點擊「Active Directory (on-premises)」
    3. 啟動 Active Directory 整合。
    4. 請按照螢幕上的指示添加您的 Active Directory 伺服器。
    重要
    重要
    Threat and Exposure ManagementZero Trust Secure Access 都需要資料上傳權限以確保某些功能正常運作。撤銷資料上傳權限可能會影響安全存取的 Policy enforcement 和風險分析。
    Claroty xDome
    第三方安全弱點評估工具 (SaaS)
    開啟「Data upload permission」,並提供為 Claroty xDome 使用者帳號創建的特定國家或地區的 Claroty xDome URL 和 API 金鑰。欲了解更多詳細資訊,請參閱Claroty xDome 整合
    CyberArk
    使用者資訊、活動資料和使用者設定風險
    1. 移至「Workflow and AutomationThird-Party Integrations」。
    2. 找到並按一下「CyberArk」
    3. 請遵循整合 CyberArk 的指示
    Google Cloud Identity
    目錄資料防護和活動資料防護
    1. 在您的 Google Cloud Identity 租戶中授予存取權限
    2. 移至「Workflow and AutomationThird-Party Integrations」。
    3. 設定您的 Google Cloud Identity 租戶。您必須設定您授予權限的相同租戶。
    Greenbone
    第三方安全弱點評估工具(內部部署)
    1. 在您的 Greenbone Enterprise Appliance 上啟用 Greenbone 管理通訊協定 (GMP)。
    2. 移至「Workflow and AutomationThird-Party Integrations」。
    3. 尋找並點擊「Greenbone」
    4. 選擇已安裝 Greenbone Connector 服務的服務閘道。如果沒有可用的服務閘道,請部署一個具有 Greenbone Connector 服務的服務閘道或在現有的服務閘道上安裝該服務。
    5. 請提供您 Greenbone 伺服器的使用者名稱和密碼。
    6. 點擊「連線」。如需詳細資訊,請參閱Greenbone 整合
    Microsoft 365
    Microsoft 365 應用程式(包括 OneDrive、SharePoint、Outlook 和 Teams)的使用資料、活動資料、系統配置和合規性資訊。
    在您連接 Microsoft Entra ID 後,開啟「Data upload permission」。如果需要,您也可以關閉權限。
    重要
    重要
    Microsoft 365 連接為資料來源需要您將 Microsoft Entra ID 配置並連接為資料來源。為此,請啟用 Microsoft Entra ID「Data upload permission」 切換,並在「Third-Party Integrations」中進行配置。
    Microsoft Defender for Endpoint
    裝置資訊、活動資料、作業系統和應用程式配置資訊,以及安全威脅偵測資料
    1. 前往Cloud SecurityCloud Accounts,然後選擇現有的 Azure Subscription 或新增訂閱
    2. 在訂閱設定中啟用 Microsoft Defender for Endpoint 日誌收集。
    3. 配置您的 Microsoft Defender for Endpoint 設定以匯出事件。
    重要
    重要
    這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
    Microsoft Entra ID
    使用者和裝置資訊、身份資訊、公共雲端應用程式資料及活動資料
    1. 移至Workflow and AutomationThird-Party Integrations,然後點擊「Microsoft Entra ID」
    2. 定位您想要授予權限的一個或多個Microsoft Entra ID租戶,然後在「狀態」欄中點擊「授與權限」以進行Cyber Risk Exposure Management
    3. 請按照螢幕上的指示啟用資料連線。欲了解詳細資訊,請參閱Microsoft Entra ID 整合
    Nessus Pro
    來自您內部網路的裝置資訊和弱點檢測
    1. 移至「Workflow and AutomationThird-Party Integrations」。
    2. 尋找並點擊Nessus Pro,然後按照螢幕上的指示連接您的帳戶。欲了解詳細資訊,請參閱Nessus Pro 整合
    Okta
    使用者資訊、公有雲應用程式資料和活動資料
    1. 從您的 Okta 環境中獲取「Okta URL domain」「API token」。如需詳細資訊,請參閱獲取您的 Okta URL 網域和 API 令牌
      注意
      注意
      您的 Okta 使用者帳號必須擁有以下其中一項在 Okta 的管理員權限:
      • API 存取管理管理員
      • 行動管理員
      • 唯讀管理員
      • 應用程式管理員
      • 組織管理員
      • 超級管理員
    2. 移至「Workflow and AutomationThird-Party Integrations」。
    3. 尋找並點擊「Okta」,然後按照螢幕上的指示連接您的帳戶。欲了解詳細資訊,請參閱Okta 整合
    重要
    重要
    Threat and Exposure ManagementZero Trust Secure Access 都需要資料上傳權限以確保某些功能正常運作。撤銷資料上傳權限可能會影響安全存取的 Policy enforcement 和風險分析。
    OpenLDAP
    來自您內部網路的使用者資訊
    1. 確保您已安裝服務閘道並已啟動內部部署目錄連接服務。
    2. 移至「Workflow and AutomationThird-Party Integrations」。
    3. 尋找並點擊「OpenLDAP」,然後按照螢幕上的指示連接您的伺服器。詳細資訊請參閱OpenLDAP 整合
    Qualys
    透過第三方弱點評估偵測到的裝置信息和弱點
    1. 在您的 Qualys 控制台中,建立一個具有有效訂閱和以下權限的新帳戶:
      • 角色:讀者
      • 資產管理權限:讀取資產
      • 允許存取:API
      • 資產群組(分配給)
    2. 將您的 TrendAI Vision One™區域 IP 位址 新增至 Qualys 主控台中信任的 IP 位址清單,以供 網路風險暴露管理 使用。
    3. 返回「Data sources」,並提供新建立帳戶的使用者名稱和密碼。
    4. 開啟「Data upload permission」並點擊「Save and Verify」。如果需要,您也可以關閉權限。
    注意
    注意
    Qualys整合僅提供弱點檢測資料和有限的裝置資訊。若要完整監控利用嘗試的活動並獲得全面的裝置洞察,請安裝並啟用Endpoint Sensor
    Rapid7 - InsightVM
    透過第三方弱點評估偵測到的裝置信息和弱點
    1. 從您的 Rapid7 主控台中,獲取具有平台管理員角色的 Rapid7 Insight 使用者帳號的 Insight 平台 URL 和 API 金鑰。欲了解詳細資訊,請參閱 Rapid7 - InsightVM 整合
    2. 返回「Data sources」並提供新獲得的平台 URL 和 API 金鑰。
    3. 開啟「Data upload permission」並點擊「儲存」。如有需要,您也可以關閉權限。
    Rapid7 - Nexpose
    來自您內部網路的裝置資訊和弱點檢測
    1. 確保您已安裝啟用了 Rapid7 - Nexpose 連接器服務的服務閘道。
    2. 移至「Workflow and AutomationThird-Party Integrations」。
    3. 尋找並點擊「Rapid7 - Nexpose」,然後按照螢幕上的指示連接您的伺服器。欲了解詳細資訊,請參閱Rapid7 - Nexpose 整合
    重新掃描
    包括檢測到的弱點和錯誤配置的網路面向資產資料
    重要
    重要
    啟用重新掃描整合後,將網路風險暴露管理資料來源切換為重新掃描以收集面向網路的資產資料。切換資料來源後,先前由TrendAI™解決方案收集的面向網路的資產資料將不再可用。
    1. 在您的 Rescana 控制台中獲取您的 Rescana 帳戶的 URL 和 API 令牌。
    2. 返回「Data sources」,並提供新獲得的 URL 和 API 令牌。
    3. 按一下「測試連線」以確認連接。
    4. 提供您Rescana帳戶的URL和API令牌。
    5. 請點選「連線」。
    重要
    重要
    這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
    Salesforce
    Salesforce 中的元數據和系統錯誤配置資訊
    在您已在「Third-Party Integrations」中連接 Salesforce 後,開啟「Data upload permission」
    如需詳細資訊,請參閱Salesforce 整合
    重要
    重要
    這是一個「預發布」功能,尚未被視為正式發布。在使用此功能之前,請先查看 測試版免責聲明
    SentinelOne Singularity
    裝置資訊、活動資料、作業系統配置資訊和安全威脅偵測
    1. 取得您用來登入 SentinelOne Singularity 控制台的 URL 以及具有所需權限的服務使用者的 API 權杖。欲了解詳細資訊,請參閱 SentinelOne Singularity 整合
    2. 前往Workflow and AutomationThird-Party Integrations並搜尋SentinelOne Singularity
    3. 點擊「Connect SentinelOne Singularity」並提供所需的資訊。
    4. 點擊「測試連線」
    5. 如果測試成功,點擊「儲存」
    Splunk - 網路防火牆 / 網頁閘道日誌
    使用者在偵測到的公共雲端應用程式上的活動
    1. 移至「Workflow and AutomationThird-Party Integrations」。
    2. 尋找並點擊「Cyber Risk Exposure Management for Splunk」
    3. 複製顯示的驗證令牌。
    4. 下載並安裝Splunk 的網路風險暴露管理應用程式。
    5. 使用驗證令牌來配置應用程式。欲了解詳細資訊,請參閱Splunk 整合的網路風險暴露管理
    Tanium Comply
    		 透過第三方弱點評估偵測到的裝置信息和弱點
    1. 使用具有適當角色的帳戶從 Tanium 控制台獲取 Tanium Comply URL 和 API 令牌。欲了解詳細資訊,請參閱 Tanium Comply 整合
    2. 將您TrendAI Vision One™區域 IP 位址新增至 Tanium 主控台中信任的 IP 位址清單,以供網路風險暴露管理使用。
    3. 返回「Data sources」,並提供新獲得的 URL 和 API 令牌。
    4. 開啟「Data upload permission」並點擊「儲存」。如有需要,您也可以關閉權限。
    Tenable 安全中心
    來自您內部網路的裝置資訊和弱點檢測
    1. 確保您已安裝服務閘道,並啟動了Tenable安全中心連接器服務。
    2. 移至「Workflow and AutomationThird-Party Integrations」。
    3. 尋找並點擊「Tenable Security Center」,然後按照螢幕上的指示連接您的伺服器。欲了解詳細資訊,請參閱Tenable 安全中心 資料來源設定
    Tenable 弱點管理
    透過第三方弱點評估偵測到的裝置信息和弱點
    1. 從 Tenable Vulnerability Management 主控台使用具有所需權限的帳戶獲取 Tenable Vulnerability Management 密鑰和存取金鑰。欲了解詳細資訊,請參閱 Tenable 弱點管理 整合
    2. 返回「Data sources」,並提供新獲得的密鑰和存取金鑰。
    3. 開啟「Data upload permission」並點擊「儲存」。如有需要,您也可以關閉權限。
相關資訊