Trend Vision One (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Trend Vision One összekötővel egyszerűen csatlakoztathatja a Workbench-riasztási adatokat a Microsoft Sentinelhez irányítópultok megtekintéséhez, egyéni riasztások létrehozásához, valamint a figyelési és vizsgálati képességek javításához. Ez további betekintést nyújt a szervezet hálózataiba/rendszereibe, és javítja a biztonsági üzemeltetési képességeket.

A Trend Vision One összekötőt a Microsoft Sentinel a következő régiókban támogatja: Kelet-Ausztrália, Délkelet-Ausztrália, Dél-Brazília, Közép-Kanada, Kelet-Kanada, Közép-India, USA középső régiója, USA keleti régiója, USA 2. keleti régiója, Közép-Franciaország, Kelet-Japán, Korea középső régiója, USA északi középső régiója, Észak-Európa, Kelet-Norvégia, Észak-Afrika, USA déli középső régiója, Délkelet-Ázsia, Közép-Svédország, Észak-Svájc, Egyesült Arab Emírségek északi régiója, Egyesült Királyság déli régiója, Egyesült Királyság nyugati régiója, Nyugat-Európa, USA nyugati régiója, USA 2. nyugati régiója, USA 3. nyugati régiója.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) TrendMicro_XDR_WORKBENCH_CL
TrendMicro_XDR_RCA_Task_CL
TrendMicro_XDR_RCA_Result_CL
TrendMicro_XDR_OAT_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Trend Micro

Példák lekérdezésekre

Kritikus és magas súlyosságú Workbench-riasztások

TrendMicro_XDR_WORKBENCH_CL
        
| where severity_s  == 'critical' or severity_s == 'high'

Közepes és alacsony súlyosságú Workbench-riasztások

TrendMicro_XDR_WORKBENCH_CL
        
| where severity_s  == 'medium' or severity_s == 'low'

Előfeltételek

A Trend Vision One-tal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Trend Vision One API-jogkivonat: Trend Vision One API-jogkivonat szükséges. A Trend Vision One API-val kapcsolatos további információkért tekintse meg a dokumentációt.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Trend Vision One API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A Trend Vision One API konfigurációs lépései

Az alábbi utasításokat követve hozzon létre egy fiókot és egy API-hitelesítési jogkivonatot.

2. LÉPÉS – Az alábbi üzembe helyezési lehetőséggel üzembe helyezheti az összekötőt és a hozzá tartozó Azure-függvényt

FONTOS: A Trend Vision One-összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a Trend Vision One API engedélyezési jogkivonatával, amely könnyen elérhető.

Azure Resource Manager-sablon üzembe helyezése

Ez a módszer egy ARM Tempate használatával biztosítja a Trend Vision One-összekötő automatikus üzembe helyezését.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adjon meg egy egyedi függvénynevet, munkaterület-azonosítót, munkaterületkulcsot, API-jogkivonatot és régiókódot.

  • Megjegyzés: Adja meg a megfelelő régiókódot a Trend Vision One-példány üzembe helyezésének helye alapján: us, eu, au, in, sg, jp
  • Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
  1. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
  2. Kattintson a Vásárlás gombra az üzembe helyezéshez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.