ビュー:

Microsoft Sentinelによって取り込まれたアラートデータは、Log Analyticsワークスペースに保存されます。

Log Analyticsワークスペースが空の場合は、コネクタが正常にデプロイされた後に新しいアラートが作成されなかったことを示します。コネクタは、 Trend Vision Oneから既存のアラートデータをプルしません。
[TrendMicro_XDR_WORKBENCH_CL] または [TrendMicro_XDR_OAT_CL] テーブルは、コネクタが正常にデプロイされた後に Trend Vision One でアラートが作成された場合に存在するはずです。

手順

  1. [Log Analyticsワークスペース][{your_workspace}][一般][ログ] に移動。
  2. [Custom Logs][Tables] タブで、[TrendMicro_XDR_WORKBENCH_CL] または [TrendMicro_XDR_OAT_CL] テーブルが存在することを確認します。
  3. クエリを実行してデータを表示するには、 [実行] をクリックします。
    ヒント
    ヒント
    • Observed Attack Techniques アラートデータを無効にするには、リソースグループ内の関数アプリに移動し、horizontalEllipsisIcon=GUID-20240826102020.jpg をクリックして、[timer_trigger_oat][oat_pipeline_file_poison_qt][oat_pipeline_file_qt][oat_pipeline_task_poison_qt]、および [oatpipeline_task_qt][無効化] を選択します。
    • [TrendMicro_XDR_RCA_Result_CL] および [TrendMicro_XDR_RCA_Task_CL] テーブルからデータを無効にするには、リソース グループ内の関数アプリに移動し、horizontalEllipsisIcon=GUID-20240826102020.jpg をクリックして、[queue_trigger_rca][無効化] を選択します。