你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的“Trend Vision One(使用 Azure Functions)”连接器
通过 Trend Vision One 连接器,可轻松地将 Workbench 警报数据与 Microsoft Sentinel 连接,以查看仪表板、创建自定义警报并改进监视和调查功能。 这样,用户就可以更深入地了解组织的网络/系统并改进安全操作功能。
可在以下区域中的 Microsoft Sentinel 中使用 Trend Vision One 连接器:澳大利亚东部、澳大利亚东南部、巴西南部、加拿大中部、加拿大东部、印度中部、美国中部、东亚、美国东部、美国东部 2、法国中部、日本东部、韩国中部、美国中北部、北欧、挪威东部、南非北部、美国中南部、东南亚、瑞典中部、瑞士北部、阿联酋北部、英国南部、英国西部、西欧、美国西部、美国西部 2、美国西部 3。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | TrendMicro_XDR_WORKBENCH_CL TrendMicro_XDR_RCA_Task_CL TrendMicro_XDR_RCA_Result_CL TrendMicro_XDR_OAT_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Trend Micro |
查询示例
严重和高严重性 Workbench 警报
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'critical' or severity_s == 'high'
中等和低严重性 Workbench 警报
TrendMicro_XDR_WORKBENCH_CL
| where severity_s == 'medium' or severity_s == 'low'
先决条件
若要与“Trend Vision One(使用 Azure Functions)”集成,请确保你具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Trend Vision One API 令牌:需要 Trend Vision One API 令牌。 请查看文档,详细了解 Trend Vision One API。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Trend Vision One API,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - Trend Vision One API 的配置步骤
按照这些说明创建帐户和 API 身份验证令牌。
步骤 2 - 使用以下部署选项部署连接器和关联的 Azure 函数
重要说明:部署 Trend Vision One 连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制),以及 Trend Vision One API 授权令牌。
Azure 资源管理器 (ARM) 模板部署
此方法使用 ARM 模板自动部署 Trend Vision One 连接器。
- 注意:根据 Trend Vision One 实例的部署位置提供适当的区域代码:us、eu、au、in、sg、jp
- 注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。
- 选中“我同意上述条款和条件”复选框。
- 单击“购买”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。