Trend Vision One-Connector (über Azure Functions) für Microsoft Sentinel
Mit dem Connector Trend Vision One können Sie Ihre Workbench-Warnungsdaten einfach mit Microsoft Sentinel verbinden, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern. Dadurch erhalten Sie einen besseren Einblick in das Netzwerk und die Systeme Ihrer Organisation und können Ihre Sicherheitsprozesse verbessern.
Der Trend Vision One-Connector wird in Microsoft Sentinel in den folgenden Regionen unterstützt: Australien, Osten; Australien, Südosten; Brasilien, Süden; Kanada, Mitte; Kanada, Osten; Indien, Mitte; USA, Mitte; Asien, Osten; USA, Osten; USA, Osten 2; Frankreich, Mitte; Japan, Osten; Südkorea, Mitte; USA, Norden-Mitte; Europa, Norden; Norwegen, Osten; Südafrika, Norden; USA, Süden-Mitte; Asien, Südosten; Schweden, Mitte; Schweiz, Norden; VAE, Norden; Vereinigtes Königreich, Süden; Vereinigtes Königreich, Westen; Europa, Westen; USA, Westen; USA, Westen 2; USA, Westen 3.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | TrendMicro_XDR_WORKBENCH_CL TrendMicro_XDR_RCA_Task_CL TrendMicro_XDR_RCA_Result_CL TrendMicro_XDR_OAT_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Trend Micro |
Abfragebeispiele
Warnungen der kritischen und schweregradigen Workbench
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'critical' or severity_s == 'high'
Warnungen der mittleren und niedrigen Schweregrad-Workbench
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'medium' or severity_s == 'low'
Voraussetzungen
Stellen Sie für die Integration in Trend Vision One (über Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Trend Vision One-API-Token: Sie benötigen ein Trend Vision One-API-Token. Weitere Informationen zur Trend Vision One-API finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Trend Vision One-API herzustellen und die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1: Konfigurationsschritte für die Trend Vision One-API
Führen Sie die in dieser Anleitung beschriebenen Schritte aus, um ein Konto und ein API-Authentifizierungstoken zu erstellen.
SCHRITT 2: Verwenden Sie die folgende Bereitstellungsoption, um den Connector und die zugehörige Azure-Funktion bereitzustellen.
WICHTIG: Halten Sie für die Bereitstellung des Trend Vision One-Datenconnectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Anschluss kopiert werden) sowie das Autorisierungstoken der Trend Vision One-API bereit.
Bereitstellung über eine ARM-Vorlage (Azure Resource Manager)
Diese Methode ermöglicht eine automatisierte Bereitstellung des Trend Vision One-Connectors mithilfe einer ARM-Vorlage.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.
Geben Sie eindeutige Werte für Funktionsname, Arbeitsbereichs-ID, Arbeitsbereichsschlüssel, API-Token und Regionscode ein.
- Hinweis: Geben Sie den passenden Regionscode für den Bereitstellungsort Ihrer Trend Vision One-Instanz an: „us“, „eu“, „au“, „in“, „sg“ oder „jp“
- Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema
@Microsoft.KeyVault(SecretUri={Security Identifier})anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.
- Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
- Klicken Sie zum Bereitstellen auf Kaufen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.