Azure Functionsを使用してコネクタをデプロイし、Trend Vision Oneからのアラートデータ収集を有効にします。
手順
- [Trend Vision One]ソリューションをMicrosoft Sentinelにインストールする
- Microsoft Sentinelワークスペースで、次の場所に移動します。 。
- [Trend Vision One]を検索して、[インストール]をクリックします。
- ワークスペースを選択して、[開始]をクリックしてください。
- [Trend Vision One]データコネクタをインストールする:
- Microsoft Sentinel ワークスペースで、 に移動します。
- [Trend Vision One (Azure機能を使用)] を検索し、 [コネクタページを開く]をクリックします。
- コネクタページで[手順]に移動します。
- [Workspace ID] と [ワークスペースキー]をコピーします。
- [Deploy to Azure]をクリックします。デプロイプロセスはMicrosoft Azureポータルにリダイレクトされます。
- [Custom deployment]ページの設定を構成する:設定設定に関する補足サブスクリプションデプロイされたリソースを管理しますリソースグループコネクタの配置先関数名一意の名前を指定してくださいワークスペースIDとワークスペースキーコネクターページの[手順]セクションからコピーした情報。Log Analyticsから情報にアクセスすることもできます。
-
[Log Analytics]のワークスペースに移動します。
-
に移動。
-
情報は[Windows servers]の[Download agent]の下にあります。
APIキーTrend Vision One ユーザアカウントからAPIキー
重要
Microsoft Sentinel コネクタには、SIEM ロールを持つ Trend Vision One ユーザアカウント、またはそれ以上の権限を持つユーザロールの API キーが必要です。ユーザアカウントのアクセスレベルには API が含まれている必要があります。地域コードTrend Vision One インスタンスの場所に対応する地域コード許可されている値:-
オーストラリア
-
ユーザー入力
-
の
-
日本語
-
シンガポール
-
アメリカ
-
mea
ストレージプレフィックスストレージプレフィックスがAzureリソースの命名規則に準拠していることを確認してください。 -
- [確認と作成]をクリックします。
- コネクタが使用するPythonのバージョンを設定します。
- Microsoft Azureコンソールで、Trend Vision Oneコネクタのリソースグループを見つけます。
- [Resources]の下で、リソースグループ内のFunction Appをクリックします。
- に移動します。
- [Python Version]メニューから[Python 3.9]を選択します。
- [保存] をクリックします。
- カスタム検出モデルやハイパーセンシティブモードを使用する場合、関連するアラートデータを取得するようにコネクタを設定してください。デフォルトでは、Trend Vision Oneコネクタはカスタム検出モデルやハイパーセンシティブモードによって作成されたデータを取得しません。関連するアラートデータをコネクタが取り込むようにするには、追加設定を構成する必要があります。
- Microsoft Azureコンソールで、Trend Vision Oneコネクタのリソースグループを見つけます。
- [Resources]の下で、リソースグループ内のFunction Appをクリックします。
- に移動してください。
- カスタム検出モデルをMicrosoft Sentinelに送信する場合は、[追加]をクリックし、次の設定を構成してください。
-
[名前]: queryCustomWorkbench
-
[値]: True
-
- カスタム検出モデルをMicrosoft Sentinelに送信する場合は、[追加]をクリックし、次の設定を構成してください。
-
[名前]: queryAggressiveWorkbench
-
[値]: True
-
- [適用] をクリックします。
- 確認ダイアログで、[確認]をクリックします。
正常に展開された後、Microsoft SentinelはTrend Vision Oneによって生成された新しいアラートデータを取得します。コネクタは既存のアラートデータを取得しません。