Splunk XDR 整合

步驟

1. 在 Trend Vision One 控制台上，獲取 Endpoint URL 和 Authentication token。
   1. 前往Workflow and Automation → Third-Party Integration。
   2. 選擇Splunk XDR。
   3. 使用複製圖示 () 來獲取以下資訊：
      • Endpoint URL
      • Authentication token
   4. （可選）如果驗證令牌已過期或不存在，請點選Generate，並在API Key Settings視窗中輸入所需資訊以新增新的令牌。
2. 從Splunkbase搜尋並安裝Trend Vision One for Splunk (XDR)應用程式。
3. 一旦應用程式安裝完成，請前往 Spunk 控制台上的應用程式 → Trend Vision One for Splunk (XDR)。

   

4. 設定帳號設定。
   1. 前往Configuration → Accounts。
   2. 使用每個帳戶旁邊的編輯圖示 () 來修改其設定。
   3. 將從Trend Vision One控制台獲得的Endpoint URL和Authentication token貼上。如果您有多個驗證令牌，請用分號分隔它們。
   4. 請點選「更新」。
   5. （可選）前往Configuration → Proxy，並根據需要輸入以下信息：
      • HTTPS Proxy Address
      • Retry Interval
   6. 按一下「儲存」。
5. （可選）新增帳戶。
   1. 請點選「新增」。
   2. 輸入Account name並從Trend Vision One控制台貼上Endpoint URL和Authentication token。
   3. 請點選「新增」。
6. 配置 Splunk 使用的資料防護輸入。
   1. 前往選單列中的Inputs。
   2. 在狀態下，使用切換開關來啟用或關閉每個資料輸入。
   3. 使用編輯圖示 () 來配置資料輸入的設定。
   4. 請輸入以下資料防護信息：
      • Name
      • Interval
      • Index
      • Global account
   5. 請點選「更新」。
7. （可選）新增資料防護輸入。
   1. 點選Create New Input。
   2. 從以下選擇資料輸入：
      • Trend Vision One Workbench警報
      • Trend Vision One 觀察到的攻擊技術
      • Trend Vision One 審計日誌
      • Trend Vision One 偵測
   3. 輸入Name、Interval和Index，並選擇Global account作為資料防護輸入。

      注意 觀察到的攻擊技術資料輸入類型還需要您選擇一個Risk level，並同步所有風險等級等於或高於指定等級的事件。選擇undefined、info或low可能會導致大量資料傳輸。

   4. 請點選「新增」。
   成功安裝 Splunk 應用程式後，Splunk 會開始從 Trend Vision One 收集 XDR 資料防護。Splunk 只能收集連接到 Trend Vision One 後產生的 XDR 資料防護。您可能需要等待一段時間，新的 XDR 資料防護才會開始出現。

   注意 Splunk 主控台中的 「偵測」 畫面僅提供來自 XDR 資料的有限偵測資料欄位。若要存取更詳細的偵測資訊，請前往 「搜尋」 畫面，並使用支援的 Splunk 語法（例如 source="trendmicro_v1_detection"|table _time,_raw）執行查詢。這樣您就可以查看來自 Trend Vision One 的完整偵測資料。