適用於 Microsoft Sentinel 的 Trend Vision One (使用 Azure Functions) 連接器
Trend Vision One 連接器可讓您輕鬆地將 Workbench 警示資料與 Microsoft Sentinel 連線,以檢視儀表板、建立自訂警示,以及改善監視和調查功能。 這可讓您深入了解組織的網路/系統,並改善安全性作業功能。
下列區域中 Microsoft Sentinel 支援 Trend Vision One 連接器:澳大利亞東部、澳大利亞東南部、巴西南部、加拿大中部、加拿大東部、印度中部、美國中部、東亞、美國東部、美國東部 2、法國中部、日本東部、南韓中部、美國中北部、北歐、挪威東部、南非北部、美國中南部、東南亞、瑞典中部、瑞士北部、阿拉伯聯合大公國北部、英國南部、英國西部、西歐、美國西部、美國西部 2、美國西部 3。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | TrendMicro_XDR_WORKBENCH_CL TrendMicro_XDR_RCA_Task_CL TrendMicro_XDR_RCA_Result_CL TrendMicro_XDR_OAT_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | 趨勢科技 |
查詢範例
重大與高嚴重性 Workbench 警示
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'critical' or severity_s == 'high'
中等與低嚴重性 Workbench 警示
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'medium' or severity_s == 'low'
必要條件
若要與 Trend Vision One 整合 (使用 Azure Functions),請確定您具備:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- Trend Vision One API 權杖:需要 Trend Vision One API 權杖。 請參閱文件以深入了解 Trend Vision One API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線至 Trend Vision One API,將其記錄提取至 Microsoft Sentinel 中。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - Trend Vision One API 的設定步驟
遵循這些指示,以建立帳戶和 API 驗證權杖。
步驟 2 - 使用下列部署選項,以部署連接器和相關聯的 Azure Function
重要事項: 部署 Trend Vision One 連接器之前,請具有可供使用的工作區識別碼和工作區主索引鍵 (可從下列位置複製),以及 Trend Vision One API 授權權杖。
Azure Resource Manager (ARM) 範本部署
此方法可供使用 ARM 範本自動部署 Trend Vision One 連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入唯一的 [函式名稱]、[工作區識別碼]、[工作區金鑰]、[API 權杖] 和 [區域代碼]。
- 注意:根據您的 Trend Vision One 執行個體部署位置提供適當的區域代碼:us、eu、au、in、sg、jp
- 若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。
- 選取標示為 [我同意上方所述的條款及條件] 的核取方塊。
- 按一下 [購買] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。