VMware Workspace ONE Intelligence集成指南
VMware Workspace ONE Intelligence平台是一个综合性解决方案,提供预防性保护、入侵后检测、自动化调查和响应能力。
该软件具备先进的终端检测与响应(EDR)功能,适用于运行Windows、Linux和MacOS等传统操作系统的设备。
上述功能支持近乎实时地检测攻击并提供可操作的洞察。通过有效的告警优先级排序技术,安全分析师能全面掌握入侵范围,并采取适当响应措施消除潜在威胁。
关于Workspace ONE与 移动安全 控制台通信
该配置支持通过API接口与VMware Workspace ONE Intelligence共享安全警报。
当设备向 移动安全 控制台报告威胁时,若威胁严重程度达到或超过配置过程中设定的最低阈值,相应威胁详情将被传输至已配置的VMware Workspace ONE Intelligence集成。
默认情况下,该工具仅向VMware Workspace ONE Intelligence发送严重级别威胁。威胁相关信息包括用户详情(如可获取)、使用中的设备、操作系统及威胁取证数据。
VMware Workspace ONE Intelligence集成可接收MDM管理设备与非管理设备的威胁详情。该平台会接收来自所有已集成的 移动安全 控制台MDM供应商的威胁事件。
配置步骤
执行以下步骤设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中选择 管理 .
-
当 管理 页面打开后,选择 集成 标签页,再选择 威胁报告 标签页,将打开以下窗口:
-
点击绿色 添加集成 按钮,随后打开的窗口将显示可选集成合作伙伴列表。
-
选择所需集成。
-
在打开的窗口中填写必要信息并点击 继续 按钮。
-
随后将打开另一个窗口以完成集成设置。请在该窗口中输入以下信息。
-
名称 – 为Microsoft Azure Sentinel环境中的此集成输入唯一名称
-
过滤级别 – 从下拉菜单中选择要报告的严重级别:
-
严重 – 仅显示严重级别。
-
较高及以上 – 显示较高和严重级别
-
较低及以上 – 显示较低、较高和严重级别
-
普通及以上 – 显示所有严重级别。
-
-
详细取证 - 若需将详细取证信息发送至Workspace ONE Intelligence,请勾选此复选框。
-
-
点击 完成 按钮,当配置正确保存后,主威胁报告窗口将打开并显示集成成功。