Bereitstellen Sie den Trend Vision One-Connector in Microsoft Sentinel

Prozedur

1. Installieren Sie die Trend Vision One-Lösung in Microsoft Sentinel
   1. Gehen Sie in Ihrem Microsoft Sentinel-Arbeitsbereich zu Content management → Content hub (Preview).
   2. Suchen Sie nach Trend Vision One und klicken Sie auf Installieren.
   3. Wählen Sie Ihren Arbeitsbereich aus und klicken Sie auf Starten.
2. Installieren Sie den Trend Vision One-Daten-Connector:
   1. Gehen Sie in Ihrem Microsoft Sentinel-Arbeitsbereich zu Konfiguration → Data connectors.
   2. Suchen Sie nach Trend Vision One (using Azure Function) und klicken Sie auf Open connector page.
   3. Gehen Sie auf der Verbindungsseite zu Anweisungen.
   4. Kopieren Sie die Workspace ID und Workspace Key.
   5. Klicken Sie auf Deploy to Azure.
      Der Bereitstellungsprozess leitet zum Microsoft Azure-Portal weiter.
   6. Konfigurieren Sie die Einstellungen auf der Custom deployment-Seite:

      Einstellung	Konfigurationshinweise
      Abonnement	Verwaltet bereitgestellte Ressourcen
      Ressourcengruppe	Wo der Connector bereitgestellt werden soll
      Funktionsname	Muss ein eindeutiger Name sein
      Arbeitsbereich-ID und Arbeitsbereichsschlüssel	Die Informationen, die Sie aus dem Abschnitt Anweisungen der Connector-Seite kopiert haben. Sie können auch auf die Informationen aus Log Analytics zugreifen. Gehen Sie zu Ihrem Arbeitsbereich in Log Analytics. Navigieren Sie zu Einstellungen → Agents management. Die Informationen befinden sich auf Windows Server, unter Download agent.
      API-Schlüssel	Ein API-Schlüssel von einem Trend Vision One Benutzerkonto Wichtig Der Microsoft Sentinel-Connector erfordert einen API-Schlüssel von einem Trend Vision One Benutzerkonto mit der SIEM-Rolle oder einer Benutzerrolle mit höheren Berechtigungen. Das Zugriffslevel des Benutzerkontos muss APIs umfassen.
      Regionscode	Der Regionscode, der dem Standort Ihrer Trend Vision One-Instanz entspricht Zulässige Werte: au eu in jp sg us mea
      Speicherpräfix	Stellen Sie sicher, dass das Speicherpräfix den Azure-Ressourcennamenskonventionen entspricht.

   7. Klicken Sie auf Review + create.
3. Konfigurieren Sie die Python-Version, die der Connector verwendet.
   1. Suchen Sie in der Microsoft Azure-Konsole die Ressourcengruppe des Trend Vision One-Konnektors.
   2. Unter Resources klicken Sie auf die Function App in Ihrer Ressourcengruppe.
   3. Navigieren Sie zu Konfiguration → Allgemeine Einstellungen.
   4. Wählen Sie Python 3.11 aus dem Python Version-Menü.
   5. Klicken Sie auf Save.
4. Wenn Sie benutzerdefinierte Erkennungsmodelle oder den hypersensitiven Modus verwenden, konfigurieren Sie den Connector, um die zugehörigen Alarmdaten abzurufen.
   Standardmäßig zieht der Trend Vision One-Connector keine Daten, die von benutzerdefinierten Erkennungsmodellen oder im hypersensitiven Modus erstellt wurden. Sie müssen zusätzliche Einstellungen konfigurieren, um sicherzustellen, dass der Connector zugehörige Alarmdaten erfasst.
   1. Suchen Sie in der Microsoft Azure-Konsole die Ressourcengruppe des Trend Vision One-Konnektors.
   2. Unter Resources klicken Sie auf die Function App in Ihrer Ressourcengruppe.
   3. Navigieren Sie zu Einstellungen → Environment variables → App settings.
   4. Wenn Sie benutzerdefinierte Erkennungsmodelle an Microsoft Sentinel senden möchten, klicken Sie auf Hinzufügen und konfigurieren Sie die folgenden Einstellungen:
      • Name: queryCustomWorkbench
      • !!Value!!: True
   5. Wenn Sie hypersensitive Moduswarnungen an Microsoft Sentinel senden möchten, klicken Sie auf Hinzufügen und konfigurieren Sie die folgenden Einstellungen:
      • Name: queryAggressiveWorkbench
      • !!Value!!: True
   6. Klicken Sie auf Übernehmen.
   7. Im Bestätigungsdialog klicken Sie auf Bestätigen.