Hoàng Doanh
Intern
Sau khi đã triển khai Virtual Network Sensor và quan sát các cảnh báo trên Trend Vision One, bước tiếp theo là tích hợp dữ liệu bảo mật về một nền tảng SIEM để phục vụ giám sát tập trung. Trong bài lab này, mình thực hiện tích hợp Trend Vision One với Splunk Enterprise thông qua add-on chính thức dành cho Splunk.
Việc tích hợp này cho phép Splunk thu thập log/sự kiện từ Trend Vision One thông qua API, từ đó hỗ trợ tìm kiếm, lưu trữ, phân tích và xây dựng dashboard giám sát bảo mật. Đây là bước quan trọng nếu muốn kết hợp dữ liệu từ NDR với các nguồn log khác trong hệ thống.
I. Mục tiêu tích hợp
Mục tiêu của bài lab này là tích hợp Trend Vision One với nền tảng SIEM Splunk Enterprise nhằm thu thập, lưu trữ và phân tích tập trung các sự kiện bảo mật. Thông qua quá trình tích hợp, dữ liệu từ Trend Vision One có thể được đưa về Splunk để phục vụ tìm kiếm log, theo dõi sự kiện, xây dựng dashboard và hỗ trợ điều tra sự cố.
Trong phạm vi lab, Splunk Enterprise được triển khai trên một máy ảo Ubuntu riêng biệt. Trend Vision One được kết nối với Splunk thông qua API URL và Authentication Token được tạo từ mục Third-Party Integrations.
II. Mô hình tích hợp
Trong mô hình triển khai, dữ liệu được truyền theo luồng tổng quát như sau: Traffic → Virtual Network Sensor → Trend Vision One → Splunk
Trong đó:
III. Triển khai Splunk Enterprise
Trong bài lab này, Splunk Enterprise được triển khai trên một máy ảo Ubuntu riêng biệt. Sau khi cài đặt và khởi động dịch vụ Splunk, giao diện quản trị có thể được truy cập thông qua địa chỉ: http://<IP_Ubuntu>:8000
Tại đây, người quản trị đăng nhập vào Splunk Web để cài đặt add-on, cấu hình kết nối API và kiểm tra dữ liệu log được gửi về từ Trend Vision One.
IV. Cấu hình tích hợp Trend Vision One với Splunk
Quá trình tích hợp Trend Vision One với Splunk được thực hiện thông qua add-on “TrendAI Vision One for Splunk (XDR)” và thông tin xác thực API được tạo trên Trend Vision One.
Bước 1: Cài đặt add-on trên Splunk
Tại giao diện Splunk Web, truy cập mục “Browse More Apps” và tìm kiếm add-on “TrendAI Vision One for Splunk (XDR)”. Sau đó tiến hành cài đặt add-on này để Splunk có thể kết nối và thu thập dữ liệu từ Trend Vision One.
Bước 2: Truy cập Third-Party Integrations trên Trend Vision One
Tại giao diện quản lý của Trend Vision One, truy cập mục “Workflow and Automation” > “Third-Party Integrations”.
Bước 3: Chọn dịch vụ Splunk XDR
Trong danh sách các dịch vụ tích hợp bên thứ ba, tìm kiếm “Splunk XDR” và truy cập vào cấu hình tích hợp tương ứng.
Bước 4: Lấy API URL
Tại giao diện cấu hình Splunk XDR, Trend Vision One hiển thị API URL dùng để kết nối với nền tảng. Copy và lưu lại API URL này để sử dụng trong phần cấu hình trên Splunk.
Bước 5: Tạo Authentication Token
Tại cùng giao diện, chọn “Generate” để tạo Authentication Token cho API. Trong phạm vi lab, có thể giữ các tùy chọn mặc định và nhấn “Add” để tạo token mới dành cho Splunk.
Bước 6: Lưu lại Token
Sau khi token được tạo, copy và lưu lại chuỗi Authentication Token. Token này sẽ được sử dụng cùng với API URL để Splunk xác thực và truy xuất dữ liệu từ Trend Vision One.
Bước 7: Cấu hình default_account trong Splunk Add-on
Quay lại giao diện Splunk Web, truy cập add-on “TrendAI Vision One for Splunk (XDR)” đã cài đặt. Tại mục Configuration, chỉnh sửa cấu hình của “default_account”.
Bước 8: Nhập API URL và Token
Trong cấu hình của default_account, dán API URL và Authentication Token đã tạo ở các bước trước. Sau khi lưu cấu hình, Splunk đã có thông tin cần thiết để kết nối đến Trend Vision One.
Bước 9: Kiểm tra cấu hình Inputs
Tại mục “Inputs”, kiểm tra các loại log/sự kiện có thể thu thập từ Trend Vision One. Tại đây có thể Enable hoặc Disable từng input, đồng thời chỉnh sửa các thông số như Time Interval và Index dùng để lưu dữ liệu trong Splunk.
Bước 10: Query log để xác nhận tích hợp
Cuối cùng, thực hiện query trên Splunk để kiểm tra dữ liệu đã được thu thập thành công. Trong bài lab này, mình kiểm tra Audit Logs của Trend Vision One. Kết quả query cho thấy Splunk đã nhận được log từ Trend Vision One, xác nhận quá trình tích hợp đã hoạt động thành công.
Việc tích hợp này cho phép Splunk thu thập log/sự kiện từ Trend Vision One thông qua API, từ đó hỗ trợ tìm kiếm, lưu trữ, phân tích và xây dựng dashboard giám sát bảo mật. Đây là bước quan trọng nếu muốn kết hợp dữ liệu từ NDR với các nguồn log khác trong hệ thống.
I. Mục tiêu tích hợp
Mục tiêu của bài lab này là tích hợp Trend Vision One với nền tảng SIEM Splunk Enterprise nhằm thu thập, lưu trữ và phân tích tập trung các sự kiện bảo mật. Thông qua quá trình tích hợp, dữ liệu từ Trend Vision One có thể được đưa về Splunk để phục vụ tìm kiếm log, theo dõi sự kiện, xây dựng dashboard và hỗ trợ điều tra sự cố.
Trong phạm vi lab, Splunk Enterprise được triển khai trên một máy ảo Ubuntu riêng biệt. Trend Vision One được kết nối với Splunk thông qua API URL và Authentication Token được tạo từ mục Third-Party Integrations.
II. Mô hình tích hợp
Trong mô hình triển khai, dữ liệu được truyền theo luồng tổng quát như sau: Traffic → Virtual Network Sensor → Trend Vision One → Splunk
Trong đó:
- Virtual Network Sensor thu thập và phân tích lưu lượng mạng trong môi trường lab.
- Trend Vision One tiếp nhận telemetry từ sensor, xử lý dữ liệu và phát hiện các mối đe dọa.
- Splunk Enterprise đóng vai trò là nền tảng SIEM, tiếp nhận dữ liệu từ Trend Vision One thông qua API để phục vụ lưu trữ, tìm kiếm và phân tích tập trung.
III. Triển khai Splunk Enterprise
Trong bài lab này, Splunk Enterprise được triển khai trên một máy ảo Ubuntu riêng biệt. Sau khi cài đặt và khởi động dịch vụ Splunk, giao diện quản trị có thể được truy cập thông qua địa chỉ: http://<IP_Ubuntu>:8000
Tại đây, người quản trị đăng nhập vào Splunk Web để cài đặt add-on, cấu hình kết nối API và kiểm tra dữ liệu log được gửi về từ Trend Vision One.
IV. Cấu hình tích hợp Trend Vision One với Splunk
Quá trình tích hợp Trend Vision One với Splunk được thực hiện thông qua add-on “TrendAI Vision One for Splunk (XDR)” và thông tin xác thực API được tạo trên Trend Vision One.
Bước 1: Cài đặt add-on trên Splunk
Tại giao diện Splunk Web, truy cập mục “Browse More Apps” và tìm kiếm add-on “TrendAI Vision One for Splunk (XDR)”. Sau đó tiến hành cài đặt add-on này để Splunk có thể kết nối và thu thập dữ liệu từ Trend Vision One.
Bước 2: Truy cập Third-Party Integrations trên Trend Vision One
Tại giao diện quản lý của Trend Vision One, truy cập mục “Workflow and Automation” > “Third-Party Integrations”.
Bước 3: Chọn dịch vụ Splunk XDR
Trong danh sách các dịch vụ tích hợp bên thứ ba, tìm kiếm “Splunk XDR” và truy cập vào cấu hình tích hợp tương ứng.
Bước 4: Lấy API URL
Tại giao diện cấu hình Splunk XDR, Trend Vision One hiển thị API URL dùng để kết nối với nền tảng. Copy và lưu lại API URL này để sử dụng trong phần cấu hình trên Splunk.
Bước 5: Tạo Authentication Token
Tại cùng giao diện, chọn “Generate” để tạo Authentication Token cho API. Trong phạm vi lab, có thể giữ các tùy chọn mặc định và nhấn “Add” để tạo token mới dành cho Splunk.
Bước 6: Lưu lại Token
Sau khi token được tạo, copy và lưu lại chuỗi Authentication Token. Token này sẽ được sử dụng cùng với API URL để Splunk xác thực và truy xuất dữ liệu từ Trend Vision One.
Bước 7: Cấu hình default_account trong Splunk Add-on
Quay lại giao diện Splunk Web, truy cập add-on “TrendAI Vision One for Splunk (XDR)” đã cài đặt. Tại mục Configuration, chỉnh sửa cấu hình của “default_account”.
Bước 8: Nhập API URL và Token
Trong cấu hình của default_account, dán API URL và Authentication Token đã tạo ở các bước trước. Sau khi lưu cấu hình, Splunk đã có thông tin cần thiết để kết nối đến Trend Vision One.
Bước 9: Kiểm tra cấu hình Inputs
Tại mục “Inputs”, kiểm tra các loại log/sự kiện có thể thu thập từ Trend Vision One. Tại đây có thể Enable hoặc Disable từng input, đồng thời chỉnh sửa các thông số như Time Interval và Index dùng để lưu dữ liệu trong Splunk.
Bước 10: Query log để xác nhận tích hợp
Cuối cùng, thực hiện query trên Splunk để kiểm tra dữ liệu đã được thu thập thành công. Trong bài lab này, mình kiểm tra Audit Logs của Trend Vision One. Kết quả query cho thấy Splunk đã nhận được log từ Trend Vision One, xác nhận quá trình tích hợp đã hoạt động thành công.
Bài viết liên quan
Được quan tâm
Bài viết mới