適用於 Microsoft Sentinel 的趨勢視覺 One (使用 Azure Functions) 連接器
Trend Vision One 連接器可讓您輕鬆地將 Workbench 警示數據與 Microsoft Sentinel 連線,以檢視儀錶板、建立自定義警示,以及改善監視和調查功能。 這可讓您深入瞭解組織的網路/系統,並改善安全性作業功能。
下列區域的 Microsoft Sentinel 支援趨勢視覺 One 連接器:澳大利亞東部、澳大利亞東南部、巴西南部、加拿大中部、加拿大東部、印度中部、美國中部、東亞、美國東部、美國東部 2、法國中部、日本東部、韓國中部、美國中北部、北歐、挪威東部、南非北部、美國中南部、東南亞、 瑞典中部、瑞士北部、阿聯酋北部、英國南部、英國西部、西歐、美國西部、美國西部 2、美國西部 3。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | TrendMicro_XDR_WORKBENCH_CL TrendMicro_XDR_RCA_Task_CL TrendMicro_XDR_RCA_Result_CL TrendMicro_XDR_OAT_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Trend Micro |
查詢範例
嚴重性和高嚴重性 Workbench 警示
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'critical' or severity_s == 'high'
中低嚴重性 Workbench 警示
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'medium' or severity_s == 'low'
必要條件
若要與 Trend Vision One 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- 趨勢視覺一個 API 令牌:需要趨勢視覺一個 API 令牌。 請參閱檔以深入瞭解 趨勢視覺 One API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Trend Vision One API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 - 趨勢視覺 One API 的設定步驟
請遵循這些指示 來建立帳戶和 API 驗證令牌。
步驟 2 - 使用下列部署選項來部署連接器和相關聯的 Azure 函式
重要事項: 在部署 Trend Vision One 連接器之前,請具有工作區標識碼和工作區主要密鑰(可從下列內容複製),以及可供使用的趨勢視覺 One API 授權令牌。
Azure Resource Manager (ARM) 範本部署
此方法會使用ARM Tempate提供趨勢視覺 One 連接器的自動化部署。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入唯 一的函式名稱、 工作區標識碼、 工作區金鑰、 API 令牌 和 區域代碼。
- 注意:根據您的趨勢視覺 One 實例部署位置提供適當的區域代碼:us、eu、au、in、sg、jp
- 注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需詳細資訊,請參閱 金鑰保存庫 參考檔。
- 標示為 [我同意上述條款及條件] 的複選框。
- 按兩下 [ 購買 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。