Workspace ONE Trust Network
Workspace ONE Trust Network 集成了来自安全解决方案的威胁数据,包括端点检测和响应 (EDR) 解决方案、移动威胁防御 (MTD) 解决方案以及云访问安全代理 (CASB)。此集成让 Workspace ONE Intelligence 用户能够了解其环境中的设备和用户面临的风险。了解如何向 Intelligence 注册特定的 Trust Network 系统。
Workspace ONE Intelligence 会在安全风险仪表板上的威胁摘要模块中显示要分析的事件数据。
FedRAMP 注意事项
NIST 特别出版物 800-47 版本 1:管理信息交换安全将系统互连定义为直接连接两个或多个 IT 系统,用于共享数据和其他信息资源。
连接 IT 系统是客户配置的一项功能。在 Workspace ONE Intelligence 中连接 IT 系统之前,请与您的授权人员讨论连接非 FedRAMP 认可的信息系统的风险。AWS GovCloud 上的 Workspace ONE 以及 Workspace ONE Intelligence 是经过 FedRAMP 认证的中等信息系统。在将信息系统连接到具有不同安全要求和控制的其他系统时,请仔细考虑风险。
请联系联邦支持热线(877-869-2730,选项 2),或者使用 My Workspace ONE 提交支持请求以获取更多详细信息,并启用客户控制的第三方与其他系统的连接。
如何集成系统?
要集成您的 Trust Network 系统,请执行以下常规任务。
注意:在集成中配置服务后,如果在威胁摘要中看不到任何数据,并不意味着配置已损坏。可能意味着未从信任网络服务报告任何事件。
- 在 Workspace ONE Intelligence 中,在集成中注册 Trust Network 支持的服务。
- 在安全风险仪表板上的威胁摘要模块中查看、分析和处理数据。
- 在工作流中,使用信任网络触发器创建一个工作流,以使用可用操作处理威胁智能数据。
信任网络的威胁摘要类别
威胁摘要模块将汇总并显示从您的 Trust Network 服务收集的事件。您可以按日期、事件计数和威胁类别查找特定数据。Workspace ONE Intelligence 将威胁分类到多个组,以帮助简化分析和修复。
威胁类别说明
| 威胁类别 | 说明 |
|---|---|
| 异常 | 涉及可疑或异常的应用程序、设备或网络行为的威胁。示例包括丢弃可执行文件或特权升级的应用程序。 |
| 凭证 | 涉及尝试以恶意方式使用被破解凭据的威胁。示例包括使用系统凭据从安全进程和正在运行的应用程序读取凭据。 |
| 设备 | 涉及出于恶意使用设备或其他端点组件的威胁。例如,未经授权的应用程序访问麦克风或摄像头。 |
| 外泄 | 涉及尝试执行未授权的数据传输的威胁。此类传输可以由物理访问计算机的用户手动执行。它还可以利用网络通过恶意编程自动执行。 |
| 攻击 | 涉及利用应用程序或系统中的缺陷或漏洞,从而导致该应用程序或系统出现意外行为的威胁。示例包括代码注入和 root 启用程序。 |
| 恶意 Web 主机 | 涉及尝试访问已知恶意站点或域的威胁。示例包括垃圾邮件、网络钓鱼、恶意软件和密码劫持。 |
| 恶意软件 | 涉及蓄意设计为破坏端点、设备或网络的恶意软件的威胁。示例包括勒索软件、键记录器和间谍软件。 |
| 网络 | 涉及用于试图破坏网络安全的方法或进程的威胁。示例包括中间人攻击、端口扫描和异常的网络协议。 |
| 其他 | 不符合某个类别的威胁。 |
| 策略 | 涉及违反公司策略的设备或端点的威胁。示例包括安装不受信任的应用程序以及使用已越狱或取得 root 权限的设备。 |
Workspace ONE Mobile Threat Defense
将 Workspace ONE Mobile Threat Defense 服务与 Workspace ONE Intelligence 集成,以便 Workspace ONE Intelligence 可以访问并显示威胁情报数据以进行分析。
要向 Workspace ONE Intelligence 注册 Workspace ONE Mobile Threat Defense,请输入从 Workspace ONE Mobile Threat Defense Console 生成的应用程序密钥。
必备条件
- 使用 Workspace ONE Intelligence 所需的 Workspace ONE UEM Console 版本。有关详细信息,请参见所需的 Workspace ONE UEM Console 版本。
- 将 Workspace ONE Mobile Threat Defense 与 iOS 或 Android 支持的 Workspace ONE Intelligent Hub 或 Lookout for Work 客户端应用程序配合使用。
- 将 Workspace ONE Mobile Threat Defense Console 与 Workspace ONE UEM 集成。有关此集成的信息,请参阅将 Workspace ONE Mobile Threat Defense 与 Workspace ONE UEM 集成。必须先集成这些系统,然后才能在 Workspace ONE Intelligence 中使用来自 Workspace One Mobile Threat Defense Console 的威胁情报数据。
过程
- 登录到 Workspace ONE Mobile Threat Defense Console 生成密钥以在 Workspace ONE Intelligence 中使用。
- 转到系统 > 应用程序密钥。
- 选择生成密钥以生成应用程序密钥。
- 为此秘钥提供标签,然后将其复制到仪表板。
- 将密钥保存在安全的地方,因为您需要在 Workspace ONE Intelligence 中输入此密钥。
- 登录到 Workspace ONE Intelligence 以授权其与 Workspace ONE Mobile Threat Defense 通信。
- 转到集成 > 数据源 > Workspace One Mobile Threat Defense > 设置 > 开始使用。
要访问之前输入的凭据,请选择卡片右下角的三个点 (…),然后选择编辑。 - 在授权详细信息区域中,输入列出的有关成功连接的信息。
- 基本 URL - 输入 Workspace One Mobile Threat Defense 的 API 端点 URL,该 URL 为
https://api.lookout.com。 - 应用程序密钥 - 输入您在 Workspace One Mobile Threat Defense Console 中生成的应用程序密钥。此值设置 Workspace ONE Intelligence 与 Workspace One Mobile Threat Defense 服务之间的通信。
- 基本 URL - 输入 Workspace One Mobile Threat Defense 的 API 端点 URL,该 URL 为
- 要完成配置,请选择授权。
- 转到集成 > 数据源 > Workspace One Mobile Threat Defense > 设置 > 开始使用。
BETTER Mobile
Workspace ONE Intelligence 与 BETTER Mobile 之间的集成涉及从 Workspace ONE Intelligence 控制台复制生成的数据,以及将数据添加到 BETTER Mobile 管理员门户。此操作会授权 Workspace ONE Intelligence 从 BETTER Mobile 引入威胁情报数据并显示数据以进行分析。
此集成适用于 Android 和 iOS 平台。
必备条件
在您可以注册 BETTER Mobile 之前,请将 BETTER Mobile 和 Workspace ONE UEM 环境集成在一起。有关详细信息,请访问 Better Mobile Security 文档站点上的设置集成内容。
使用 Better MTD console 3.x 或更高版本进行此集成。
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > BETTER Mobile > 设置 > 开始使用。
- 在网络合作伙伴设置详细信息选项卡上输入电子邮件。如果 Check Point 和 Workspace ONE Intelligence 之间出现任何连接问题,系统将向该电子邮件地址发送通知。
-
在网络合作伙伴凭据选项卡中,复制生成的信息,并将其添加到您的 BETTER Mobile 管理员门户。
- Hostname
- 端口
- 集成令牌
-
要完成配置,请选择完成。
Carbon Black
输入与 CB Defense 代理的 Carbon Black 连接器相关的数据,以便 Workspace ONE Intelligence 可以访问并显示威胁情报数据以进行分析。
要向 Workspace ONE Intelligence 注册 Carbon Black,请输入 Carbon Black API 连接器和 Carbon Black SIEM 连接器的密钥和 ID。
有关如何生成 API 密钥、订阅 Carbon Black 通知以及您的 Carbon Black 实例的 API 端点 URL 的信息,请访问 Carbon Black/Developers 网站上的 API 访问主题。
隐私控制和地理区域
Carbon Black 实施了隐私控制,可限制将数据转发到 Carbon Black 租户所在的区域之外。要成功与 Workspace ONE Intelligence 集成,请确保 Carbon Black 租户和 Workspace ONE Intelligence 实例位于同一个地理区域内。
查找允许列表 URL(按区域)中列出的 Workspace ONE Intelligence 区域。下表描述了映射到 Workspace ONE Intelligence 区域的 Carbon Black 区域。
| Carbon Black Cloud 产品 URL | Carbon Black AWS 区域名称 | Carbon Black AWS 区域 | Workspace ONE Intelligence AWS 区域 |
|---|---|---|---|
| https://dashboard.confer.net https://defense.conferdeploy.net https://defense-prod05.conferdeploy.net |
美国东部(北弗吉尼亚州) | us-east-1 | Carbon Black us-east-1 客户可以映射到 Workspace ONE Intelligence 北美地区(例如 NA1、Sandbox 和 CA1)。 |
| https://defense-eu.conferdeploy.net | 欧洲(法兰克福) | eu-central-1 | Carbon Black eu-central-1 客户可以映射到欧洲Workspace ONE Intelligence区域(例如 EU1 和 EU2)。 |
| https://ew2.carbonblackcloud.vmware.com | 欧盟(伦敦) | eu-west-2 | Carbon Black eu-west-2 客户可以映射到伦敦 Workspace ONE Intelligence区域(例如 UK1)。 |
| https://defense-prodnrt.conferdeploy.net | 亚太地区(东京) | ap-northwest-1 | Carbon Black ap-northwest-1 客户可以映射到亚太地区东京 Workspace ONE Intelligence 地区(例如 AP1)。 |
| https://defense-prodsyd.conferdeploy.net | 亚太地区(悉尼) | ap-southeast-2 | Carbon Black ap-southeast-2 客户可以映射到亚太地区悉尼 Workspace ONE Intelligence 地区(例如 AU1)。 |
隐私控制示例
- 访问美国东部 Carbon Black 控制台的客户可以与位于北美地区 NA1、CA1、Sandbox 的 Workspace ONE Intelligence 实例集成。
- 使用法兰克福 Carbon Black 控制台的客户可以与位于中欧地区 EU1 和 EU2 的 Workspace ONE Intelligence 实例集成。
- 使用伦敦 Carbon Black 控制台的客户可以与位于西欧地区 UK1 的 Workspace ONE Intelligence 实例集成。
- 使用东京 Carbon Black 控制台的客户可以与位于亚太西北地区 AP1 的 Workspace ONE Intelligence 实例集成。
- 使用悉尼 Carbon Black 控制台的客户可以与位于亚太东南地区 AU1 的 Workspace ONE Intelligence 实例集成。
- 由于隐私控制导致跨区域集成受到阻止,位于 eu-central-1 的 Carbon Black 租户无法将数据传送到位于 NA1 的 Workspace ONE Intelligence 实例。
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Carbon Black > 设置 > 开始使用。要访问之前输入的凭据,请选择“编辑 Carbon Black”。
- 在提供凭据区域中,输入成功连接的信息。
- 基本 URL:输入 Carbon Black 实例的 API 端点 URL,以便 Workspace ONE Intelligence 可以访问它。此字符串以
https://开头。 - API 密钥 - 输入为 Workspace ONE Intelligence 授予对 Carbon Black 实例进行身份验证的权限的值。此密钥及 ID 可提供对 Carbon Black API(通知 API 除外)的访问。
- SIEM 密钥 - 输入为 Workspace ONE Intelligence 授予向属于 SIEM 系统一部分的设备发送通知和警示的权限的值。此密钥提供对所有 Carbon Black 通知 API 的访问权限。
- API 连接器 ID - 输入与 API 密钥一起用于对 Carbon Black 实例进行身份验证的值。此 ID 及密钥可提供对 Carbon Black API(通知 API 除外)的访问权限。
- SIEM 连接器 ID - 输入与 SIEM 密钥配合使用以使 Workspace ONE Intelligence 能够访问 Carbon Black API 以获取通知的值。
- 基本 URL:输入 Carbon Black 实例的 API 端点 URL,以便 Workspace ONE Intelligence 可以访问它。此字符串以
- 要完成配置,请选择“授权”。
Check Point
Workspace ONE Intelligence 与 Harmony Mobile(Check Point 的移动威胁防御解决方案)之间的集成涉及从 Workspace ONE Intelligence 复制生成的数据,以及将数据添加到 Check Point 管理员门户。此操作会授权 Workspace ONE Intelligence 从 Check Point 引入威胁情报数据并显示数据以进行分析。
此集成适用于 Android 和 iOS 平台。
必备条件
必须先将 Check Point Harmony Mobile 与您的 Workspace ONE UEM 环境集成,然后才能使用此 Trust Network 集成。有关详细信息,请访问与 Workspace ONE UEM 集成。
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Check Point > 设置 > 开始使用。
- 在网络合作伙伴设置详细信息选项卡上输入电子邮件。如果 Check Point 和 Workspace ONE Intelligence 之间出现任何连接问题,系统将向该电子邮件地址发送通知。
-
在网络合作伙伴凭据选项卡中,复制生成的信息,然后在设置 > Syslog > Workspace ONE Intelligence 中将信息添加到您的 Harmony Mobile 管理员门户。
- Hostname
- 端口
- 集成令牌
-
要完成配置,请选择完成。
Lookout for Work
输入与您的 Lookout for Work 服务相关的数据,以便 Workspace ONE Intelligence 可以访问威胁情报数据并显示该数据以进行分析。
要向 Workspace ONE Intelligence 注册 Lookout for Work,请输入在 Lookout for Work 控制台中配置的应用程序密钥。
必备条件
- 使用 Workspace ONE Intelligence 所需的 Workspace ONE UEM console 版本。
- 使用适用于 iOS 或 Android 的 Lookout for Work 客户端 5.10.0 或更高版本。
将 Lookout for Work 与 Workspace ONE UEM 集成,以便 Workspace ONE UEM 可以管理 Lookout for Work 应用。有关此集成的信息,请访问 Lookout 企业支持站点,请参阅“使用 VMware AirWatch 部署 Lookout 指南”。
您必须先集成这些系统,然后才能在 Workspace ONE Intelligence 中使用来自 Lookout for Work 的威胁情报数据。
在集成过程中,您可以将应用程序配置参数添加到 Workspace ONE UEM console 中的 Lookout for Work 应用记录。
- 配置键:从应用的元数据中获取此值。
- 值类型:选择字符串。
- 配置值:准确输入两个参数。如果参数拼写错误或添加了不需要的括号,该参数将不起作用。
DeviceUniqueIdentifierDeviceUUID}
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Lookout > 设置 > 开始使用。要访问之前输入的凭据,请选择“编辑 Lookout for Work”。
- 在“提供凭据”区域中,输入成功连接的信息。
- 基本 URL - 输入 Lookout for Work 的 API 端点 URL,即
https://api.lookout.com。 - 应用程序密钥 - 输入用于设置 Workspace ONE Intelligence 和 Lookout for Work 之间的通信的值。
- 基本 URL - 输入 Lookout for Work 的 API 端点 URL,即
- 要完成配置,请选择授权。
Netskope
输入与您的 Netskope 实例相关的数据,以便 Workspace ONE Intelligence 可以访问云安全威胁数据并显示该数据以进行分析。
要向 Workspace ONE Intelligence 注册 Netskope,请输入在 Netskope 控制台中设置的 Netskope 应用程序密钥。
必备条件
将 Netskope 与 Workspace ONE UEM 集成,以便 Workspace ONE UEM 可以管理 Netskope 应用。
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Netskope > 设置 > 开始使用。要访问之前输入的凭据,请选择“编辑 Netskope”。
- 在“连接权限”区域中,查看 Workspace ONE Intelligence 要访问的数据。
- 在“提供凭据”区域中,输入成功连接的信息。
- 基本 URL - 输入 Netskope 的 URL,以便 Workspace ONE Intelligence 可以访问它。此字符串以
https://开头。 - 应用程序密钥 - 输入用于设置 Workspace ONE Intelligence 和 Netskope 之间的通信的值。
- 基本 URL - 输入 Netskope 的 URL,以便 Workspace ONE Intelligence 可以访问它。此字符串以
- 要完成配置,请选择授权。
Pradeo
Workspace ONE Intelligence 与 Pradeo Security 之间的集成涉及从 Workspace ONE Intelligence 复制生成的数据,以及将数据添加到 Pradeo 管理员门户。此操作会授权 Workspace ONE Intelligence 从 Pradeo Security 引入威胁情报数据并显示数据以进行分析。
此集成适用于 Android 和 iOS 平台。
必备条件
必须先将 Pradeo 与您的 Workspace ONE UEM 环境集成,然后才能使用此 Trust Network 集成。访问 Pradeo 为 VMware Workspace ONE 扩充了移动威胁情报。
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Pradeo > 设置 > 开始使用。要访问之前输入的凭据,请选择“编辑 Pradeo”。
- 在网络合作伙伴设置详细信息选项卡上输入电子邮件。
-
在网络合作伙伴凭据选项卡中,复制生成的信息,并将其添加到您的 Pradeo Security 管理员门户。
- 集成令牌
- Hostname
- 端口
-
要完成配置,请选择完成。
Wandera
Workspace ONE Intelligence 与 Wandera 的移动威胁防御系统之间的集成涉及从 Workspace ONE Intelligence 复制生成的数据,以及将数据添加到 Wandera 管理员门户。
此操作会授权 Workspace ONE Intelligence 从 Wandera 引入威胁情报数据并显示数据以进行分析。
此集成适用于 Android 和 iOS 平台。
必备条件
必须先将 Wandera 与您的 Workspace ONE UEM 环境集成,然后才能使用此 Trust Network 集成。有关详细信息,请使用您的 Wandera 帐户访问列出的文章。- 使用 Workspace ONE Intelligence 集成威胁事件流 - EMM Connect Workspace ONE 配置指南
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Wandera > 设置 > 开始使用。要访问之前输入的凭据,请选择编辑 Wandera。
- 在网络合作伙伴设置详细信息选项卡上输入电子邮件。
- 在网络合作伙伴凭据选项卡中,复制生成的信息,并将其添加到您的 Wandera 管理员门户。
- 集成令牌
- Hostname
- 端口
- 要完成配置,请选择“完成”。
Zimperium
Workspace ONE Intelligence 与 Zimperium 之间的集成涉及从 Workspace ONE Intelligence 复制生成的数据,以及将数据添加到 Zimperium zConsole。此操作会授权 Workspace ONE Intelligence 从 Zimperium 引入威胁情报数据并显示数据以进行分析。
此集成适用于 Android 和 iOS 平台。
必备条件
- 此集成与 zConsole 4.28 和更高版本配合使用。
- 使用 Zimperium 支持门户中的文档将 Zimperium 与 Workspace ONE UEM 集成。使用您的 Zimperium 支持门户凭据访问文档。
过程
- 在 Workspace ONE Intelligence 控制台中,转到集成 > 数据源 > Zimperium > 设置 > 开始使用。要访问之前输入的凭据,请选择编辑 Zimperium。
- 在网络合作伙伴设置详细信息选项卡上输入电子邮件。
- 在网络合作伙伴凭据选项卡中,复制生成的信息,并将信息添加到 Zimperium zConsole。
- 集成令牌
- Hostname
- 端口
- 要完成配置,请选择完成。
