在 Microsoft Sentinel 中部署 TrendAI Vision One 連接器

步驟

1. 在 Microsoft Sentinel 中安裝「TrendAI Vision One™」解決方案
   1. 在您的 Microsoft Sentinel 工作區中，前往 Content management → Content hub (Preview)。
   2. 搜尋「TrendAI Vision One™」並點擊「安裝」。
   3. 選擇您的工作區並點擊Start。
2. 安裝「TrendAI Vision One™」資料連接器：
   1. 在您的 Microsoft Sentinel 工作區中，前往 Configuration → Data connectors。
   2. 搜尋「TrendAI Vision One™ (using Azure Function)」並點擊「Open connector page」。
   3. 在連接器頁面，前往說明。
   4. 複製Workspace ID和Workspace Key。
   5. 點選Deploy to Azure。
      部署過程會重定向到 Microsoft Azure 入口網站。
   6. 在Custom deployment頁面上配置設定：

      設定	組態設定注意事項
      訂閱	管理已部署的資源
      資源群組	在何處部署連接器
      函數名稱	必須是唯一的名稱
      工作區 ID 和工作區金鑰	您從連接器頁面的說明部分複製的信息。 您也可以從日誌分析中訪問該信息。 前往Log Analytics中的您的工作區。 前往Settings → Agents management。 該資訊位於Windows servers，在Download agent下。
      API 金鑰	來自TrendAI Vision One™使用者帳號的 API 金鑰 重要 Microsoft Sentinel 連接器需要來自具有 SIEM 角色或具有更高權限的使用者角色的 TrendAI Vision One™ 使用者帳號的 API 金鑰。使用者帳號的存取層級必須包含 API。
      地區代碼	與您的TrendAI Vision One™實例位置資訊相對應的區域代碼 允許的值： 澳洲 ca 歐盟 在 日文 mea 新加坡 uk 我們
      儲存區前綴	確保儲存體前綴符合 Azure 資源命名規範。

   7. 點選Review + create。
3. 配置連接器使用的Python版本。
   1. 在 Microsoft Azure 主控台中，找到 TrendAI Vision One™ 連接器的資源群組。
   2. 在 Resources 下，點擊您資源組中的 Function App。
   3. 前往Configuration → 一般設定。
   4. 從「Python Version」選單中選擇「Python 3.11」。
   5. 按一下「儲存」。
4. 如果您使用自訂偵測模型或高靈敏模式，請配置連接器以提取相關的警報資料防護。
   預設情況下，TrendAI Vision One™ 連接器不會提取由自訂偵測模型或超敏感模式創建的資料。您需要配置其他設定以確保連接器能夠接收相關的警報資料。
   1. 在 Microsoft Azure 主控台中，找到 TrendAI Vision One™ 連接器的資源群組。
   2. 在 Resources 下，點擊您資源組中的 Function App。
   3. 前往設定 → Environment variables → App settings。
   4. 如果您想將自訂偵測模型發送到 Microsoft Sentinel，請點擊新增並配置以下設定：
      • Name: queryCustomWorkbench
      • Value：True
   5. 如果您想將超敏感模式警報發送到 Microsoft Sentinel，請點擊新增並配置以下設定：
      • Name：queryAggressiveWorkbench
      • Value：True
   6. 按一下「套用」。
   7. 在確認對話框中，點擊確認。