Соединитель Trend Vision One (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследований. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности.

Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Индия, Центральная Индия, Центральная Часть США, Восточная часть США, Восточная ЧАСТЬ США 2, Восточная Франция, Центральная Корея, Северная Европа, Северная Европа, Восточная Африка, Северная Африка, Южная Африка, Южная Часть США, Юго-Восточная Азия, Центральная Швеция, Северная Швейцария, Северная ОАЭ, Южная Великобритания, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics TrendMicro_XDR_WOR КБ ENCH_CL
TrendMicro_XDR_RCA_Task_CL
TrendMicro_XDR_RCA_Result_CL
TrendMicro_XDR_OAT_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Trend Micro

Примеры запросов

Критические и высоко серьезность оповещений Workbench

TrendMicro_XDR_WORKBENCH_CL
        
| where severity_s  == 'critical' or severity_s == 'high'

Оповещения о средней и низкой серьезности Workbench

TrendMicro_XDR_WORKBENCH_CL
        
| where severity_s  == 'medium' or severity_s == 'low'

Необходимые компоненты

Чтобы интегрировать с Trend Vision One (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Маркер API Для распознавания трендов: требуется маркер API для распознавания трендов. Дополнительные сведения об API Trend Vision One см. в документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Trend Vision One для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке ДЛЯ API Trend Vision One

Следуйте этим инструкциям , чтобы создать учетную запись и маркер проверки подлинности API.

ШАГ 2. Используйте приведенный ниже вариант развертывания для развертывания соединителя и связанной функции Azure.

ВАЖНО. Прежде чем развертывать соединитель Trend Vision One, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также маркер авторизации API Trend Vision One, легко доступный.

Развертывание шаблона Azure Resource Manager (ARM)

Этот метод обеспечивает автоматическое развертывание соединителя Trend Vision One с помощью темпа ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите уникальное имя функции, идентификатор рабочей области, ключ рабочей области, маркер API и код региона.

  • Примечание. Укажите соответствующий код региона в зависимости от того, где развернут экземпляр Trend Vision One: us, eu, au, in, sg, jp
  • Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
  1. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
  2. Нажмите кнопку " Купить" , чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.