直接在 Splunk 資訊中心查看您所有的 XDR 資料防護。
 |
注意
|
步驟
- 在 Trend Vision One 控制台上,獲取 Endpoint URL 和 Authentication token。
- 前往。
- 選擇Splunk XDR。
- 使用複製圖示 (
) 來獲取以下資訊:-
Endpoint URL
-
Authentication token
-
- (可選)如果驗證令牌已過期或不存在,請點選Generate,並在API Key Settings視窗中輸入所需資訊以新增新的令牌。
- 從Splunkbase搜尋並安裝Trend Vision One for Splunk (XDR)應用程式。
- 一旦應用程式安裝完成,請前往 Spunk 控制台上的。
- 設定帳號設定。
- 前往。
- 使用每個帳戶旁邊的編輯圖示 (
) 來修改其設定。 - 將從Trend Vision One控制台獲得的Endpoint URL和Authentication token貼上。如果您有多個驗證令牌,請用分號分隔它們。
- 請點選「更新」。
- (可選)前往,並根據需要輸入以下信息:
-
HTTPS Proxy Address
-
Retry Interval
-
- 按一下「儲存」。
- (可選)新增帳戶。
- 請點選「新增」。
- 輸入Account name並從Trend Vision One控制台貼上Endpoint URL和Authentication token。
- 請點選「新增」。
- 配置 Splunk 使用的資料防護輸入。
- 前往選單列中的Inputs。
- 在狀態下,使用切換開關來啟用或關閉每個資料輸入。
- 使用編輯圖示 () 來配置資料輸入的設定。
- 請輸入以下資料防護信息:
-
Name
-
Interval
-
Index
-
Global account
-
- 請點選「更新」。
- (可選)新增資料防護輸入。
- 點選Create New Input。
- 從以下選擇資料輸入:
-
Trend Vision One 工作台警報
-
Trend Vision One 觀察到的攻擊技術
-
Trend Vision One 審計日誌
-
Trend Vision One 偵測
-
- 輸入Name、Interval和Index,並選擇Global account作為資料防護輸入。
注意
觀察到的攻擊技術資料輸入類型還需要您選擇一個Risk level,並同步所有風險等級等於或高於指定等級的事件。選擇undefined、info或low可能會導致大量資料傳輸。 - 請點選「新增」。
成功安裝 Splunk 應用程式後,Splunk 會開始從 Trend Vision One 收集 XDR 資料防護。Splunk 只能收集連接到 Trend Vision One 後產生的 XDR 資料防護。您可能需要等待一段時間,新的 XDR 資料防護才會開始出現。