VMware Workspace ONE Intelligence集成指南
VMware Workspace ONE Intelligence平台是一个综合性解决方案,提供预防性保护、入侵后检测、自动化调查及响应能力。
该软件具备先进的端点检测与响应(EDR)功能,适用于运行Windows、Linux和MacOS等传统操作系统的设备。
上述功能支持近乎实时地检测攻击并提供可操作洞察。通过有效的告警优先级排序技术,安全分析师可全面掌握入侵范围,并采取适当响应措施消除潜在威胁。
关于Workspace ONE与 移动安全 控制台通信
该配置支持通过API接口将告警信息共享至VMware Workspace ONE Intelligence。
当设备向 移动安全 控制台报告威胁时,若威胁严重性达到或超过配置过程中设定的最低阈值,相关威胁详情将被传输至已配置的VMware Workspace ONE Intelligence集成端。
默认情况下,该工具仅向VMware Workspace ONE Intelligence发送严重性为危急的威胁信息。威胁相关信息包括用户详情(如可获取)、所用设备、操作系统及威胁取证数据。
VMware Workspace ONE Intelligence集成配置为接收MDM管理和非管理设备的威胁详情。该平台从所有集成的 移动安全 控制台MDM供应商处获取威胁事件。
配置步骤
执行以下步骤以设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中选择 管理 .
-
当 管理 页面打开后,选择 集成 标签页,再选择 威胁报告 标签页,随后将打开以下窗口:
-
点击绿色 添加集成 按钮,将显示可供选择的集成合作伙伴列表窗口。
-
选择所需集成。
-
在打开的窗口中填写必填信息,点击 继续 按钮。
-
将打开另一个窗口以完成集成设置。请在该窗口输入以下信息:
-
名称 – 为Microsoft Azure Sentinel环境中的本集成输入唯一名称
-
筛选级别 – 从下拉菜单中选择需上报的严重级别:
-
严重 – 仅显示严重级别。
-
高及更高 – 显示高和严重级别
-
低及更高 – 显示低、高和严重级别
-
普通及更高 – 显示所有严重级别
-
-
详细取证 - 如需将详细取证信息发送至Workspace ONE Intelligence,请勾选此复选框。
-
-
点击 完成 按钮,配置正确保存后,主威胁报告窗口将打开并显示集成成功。