Microsoft Sentinel용 Trend Vision One(Azure Functions 사용) 커넥터
Trend Vision One 커넥터를 사용하면 Workbench 경고 데이터를 Microsoft Sentinel과 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선시킬 수 있습니다. 이렇게 하면 조직의 네트워크/시스템에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선할 수 있습니다.
Trend Vision One 커넥터는 다음 지역의 Microsoft Sentinel에서 지원됩니다. 오스트레일리아 동부, 오스트레일리아 남동부, 브라질 남부, 캐나다 중부, 캐나다 동부, 인도 중부, 미국 중부, 동아시아, 미국 동부, 미국 동부 2, 프랑스 중부, 일본 동부, 한국 중부, 미국 중북부, 북유럽, 노르웨이 동부, 남아프리카 공화국 북부, 미국 중남부, 동남 아시아, 스웨덴 중부, 스위스 북부, 아랍에미리트 북부, 영국 남부, 영국 서부, 서유럽, 미국 서부, 미국 서부 2, 미국 서부 3.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | TrendMicro_XDR_WORKBENCH_CL TrendMicro_XDR_RCA_Task_CL TrendMicro_XDR_RCA_Result_CL TrendMicro_XDR_OAT_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Trend Micro |
쿼리 샘플
위험 및 높은 심각도 Workbench 경고
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'critical' or severity_s == 'high'
중간 및 낮은 심각도 Workbench 경고
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'medium' or severity_s == 'low'
필수 조건
Trend Vision One(Azure Functions 사용)과 통합하려면 다음 사항을 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- Trend Vision One API 토큰: Trend Vision One API 토큰이 필요합니다. Trend Vision One API에 대해 자세히 알아보려면 설명서를 참조하세요.
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 Trend Vision One API에 연결하여 해당 로그를 Microsoft Sentinel로 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
1단계 - Trend Vision One API 구성 단계
계정과 API 인증 토큰을 만들려면 다음 지침을 따릅니다.
2단계 - 아래 배포 옵션을 사용하여 커넥터 및 관련 Azure 함수를 배포합니다.
중요: Trend Vision One 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론 Trend Vision One API 권한 부여 토큰도 즉시 사용할 수 있도록 준비합니다.
ARM(Azure Resource Manager) 템플릿 배포
이 방법은 ARM 템플릿을 사용하여 Trend Vision One 커넥터를 자동으로 배포합니다.
아래에서 Azure에 배포 단추를 클릭합니다.
선호하는 구독, 리소스 그룹 및 위치를 선택합니다.
고유한 함수 이름, 작업 영역 ID, 작업 영역 키, API 토큰 및 지역 코드를 입력합니다.
- 참고: Trend Vision One 인스턴스가 배포된 위치에 따라 적절한 지역 코드(us, eu, au, in, sg, jp)를 제공합니다.
- 참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신
@Microsoft.KeyVault(SecretUri={Security Identifier})스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
- 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.
- 구매를 클릭하여 배포합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.