Microsoft Sentinel 用 Trend Vision One (Azure Functions を使用) コネクタ
Trend Vision One コネクタを使用すると、Workbench アラート データを Microsoft Sentinel に簡単に接続してダッシュボードを表示したり、カスタム アラートを作成したり、監視と調査の機能を向上させたりすることができます。 これにより、組織のネットワークおよびシステムに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
Trend Vision One コネクタは、次のリージョンの Microsoft Sentinel でサポートされています: オーストラリア東部、オーストラリア南東部、ブラジル南部、カナダ中部、カナダ東部、インド中部、米国中部、東アジア、米国東部、米国東部 2、フランス中部、東日本、韓国中部、米国中北部、北ヨーロッパ、ノルウェー東部、南アフリカ北部、米国中南部、東南アジア、 スウェーデン中部、スイス北部、アラブ首長国連邦北部、英国南部、英国西部、西ヨーロッパ、米国西部、米国西部 2、米国西部 3。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | TrendMicro_XDR_WORKBENCH_CL TrendMicro_XDR_RCA_Task_CL TrendMicro_XDR_RCA_Result_CL TrendMicro_XDR_OAT_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Trend Micro |
クエリのサンプル
重要度が重大および高のワークベンチ アラート
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'critical' or severity_s == 'high'
重要度が中および低のワークベンチ アラート
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'medium' or severity_s == 'low'
前提条件
Trend Vision One と (Azure Functions を使用して) 統合するには、次のものがあることを確認します:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Trend Vision One API トークン: Trend Vision One API トークンが必要です。 Trend Vision One API の詳細については、ドキュメントを参照してください。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Trend Vision One API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - Trend Vision One API の構成手順
こちらの手順に従って、アカウントと API 認証トークンを作成してください。
手順 2 - 次のデプロイ オプションを使用して、コネクタと、関連付けられている Azure 関数をデプロイする
重要: Trend Vision One コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます)、および Trend Vision One API の認証トークンをすぐに使用できるようにしておいてください。
Azure Resource Manager (ARM) テンプレートのデプロイ
この方法により、ARM テンプレートを使用して Trend Vision One コネクタを自動的にデプロイできます。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
一意の関数名、ワークスペース ID、ワークスペース キー、API トークン、リージョン コードを入力します。
- 注: Trend Vision One インスタンスがデプロイされている場所に基づいて適切なリージョン コード (us、eu、au、in、sg、jp) を指定してください
- 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。
- [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
- [購入] をクリックしてデプロイします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。