步驟

1. 在 Microsoft Sentinel 中安裝 Trend Vision One 解決方案
   1. 在您的 Microsoft Sentinel 工作區中，前往 Content management → Content hub (Preview)。
   2. 搜尋Trend Vision One並點擊安裝。
   3. 選擇您的工作區並點擊Start。
2. 安裝Trend Vision One資料連接器：
   1. 在您的 Microsoft Sentinel 工作區中，前往 Configuration → Data connectors。
   2. 搜尋Trend Vision One (using Azure Function)並點選Open connector page。
   3. 在連接器頁面，前往說明。
   4. 複製Workspace ID和Workspace Key。
   5. 點選Deploy to Azure。
      部署過程會重定向到 Microsoft Azure 入口網站。
   6. 在Custom deployment頁面上配置設定：

      設定	組態設定注意事項
      訂閱	管理已部署的資源
      資源群組	在何處部署連接器
      函數名稱	必須是唯一的名稱
      工作區 ID 和工作區金鑰	您從連接器頁面的說明部分複製的信息。 您也可以從日誌分析中訪問該信息。 前往Log Analytics中的您的工作區。 前往Settings → Agents management。 該資訊位於Windows servers，在Download agent下。
      API 金鑰	來自Trend Vision One使用者帳號的 API 金鑰 重要 Microsoft Sentinel 連接器需要來自具有 SIEM 角色或具有更高權限的使用者角色的 Trend Vision One 使用者帳號的 API 金鑰。使用者帳號的存取層級必須包含 API。
      地區代碼	與您的Trend Vision One實例位置資訊相對應的區域代碼 允許的值： 澳洲 歐盟 在 日文 新加坡 我們 mea
      儲存區前綴	確保儲存體前綴符合 Azure 資源命名規範。

   7. 點選Review + create。
3. 配置連接器使用的Python版本。
   1. 在 Microsoft Azure 控制台中，找到 Trend Vision One 連接器的資源群組。
   2. 在 Resources 下，點擊您資源組中的 Function App。
   3. 前往Configuration → 一般設定。
   4. 從Python Version選擇Python 3.9。
   5. 按一下「儲存」。
4. 如果您使用自訂偵測模型或高靈敏模式，請配置連接器以提取相關的警報資料防護。
   預設情況下，Trend Vision One 連接器不會提取由自訂偵測模型或超敏感模式創建的資料。您需要配置其他設定以確保連接器能夠接收相關的警報資料。
   1. 在 Microsoft Azure 控制台中，找到 Trend Vision One 連接器的資源群組。
   2. 在 Resources 下，點擊您資源組中的 Function App。
   3. 前往設定 → Environment variables → App settings。
   4. 如果您想將自訂偵測模型發送到 Microsoft Sentinel，請點擊新增並配置以下設定：
      • Name: queryCustomWorkbench
      • Value：True
   5. 如果您想將自訂偵測模型發送到 Microsoft Sentinel，請點擊新增並配置以下設定：
      • Name：queryAggressiveWorkbench
      • Value：True
   6. 按一下「套用」。
   7. 在確認對話框中，點擊確認。