مشاركة عبر

موصل CyberArkAudit (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات تدقيق CyberArk القدرة على استرداد سجلات أحداث الأمان لخدمة تدقيق CyberArk والمزيد من الأحداث في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يوفر الموصل القدرة على الحصول على الأحداث التي تساعد على فحص المخاطر الأمنية المحتملة وتحليل استخدام فريقك للتعاون وتشخيص مشكلات التكوين والمزيد.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
إعدادات التطبيق CyberArkAuditUsername
CyberArkAuditPassword
CyberArkAuditServerURL
WorkspaceID
WorkspaceKey
logAnalyticsUri (اختياري)
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinel-CyberArkAudit-functionapp
جدول (جداول) Log Analytics CyberArk_AuditEvents_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل دعم CyberArk

عينات الاستعلام

أحداث تدقيق CyberArk - جميع الأنشطة.

CyberArkAudit

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع CyberArkAudit (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • تدقيق REST API الاتصال التفاصيل وبيانات الاعتماد: OauthUsername، OauthPassword، WebAppID، AuditApiKey، IdentityEndpoint و AuditApiBaseUrl مطلوبة لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب Azure Blob Storage API لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف Azure Blob Storage. تحقق من صفحة تسعير Azure Functions وصفحة تسعير Azure Blob Storage للحصول على التفاصيل.

إشعار

يتم تخزين مفتاح (مفاتيح) تخويل API أو الرمز (الرموز المميزة) بشكل آمن في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها.

الخطوة 1 - خطوات التكوين لتكامل SIEM لتدقيق CyberArk

اتبع الإرشادات للحصول على تفاصيل الاتصال وبيانات الاعتماد.

  1. استخدم اسم المستخدم وكلمة المرور لحساب CyberArk Audit الخاص بك.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات تدقيق CyberArk، يكون لديك اسم مساحة العمل وموقع مساحة العمل (يمكن نسخهما من ما يلي).

اسم مساحة عمل

موقع مساحة العمل

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات تدقيق CyberArk باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظة: ضمن نفس مجموعة الموارد، لا يمكنك خلط تطبيقات Windows وLinux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل CyberArkAuditUsername، CyberArkAuditPassword، CyberArkAuditServerURL وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تدقيق CyberArk يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدِّم المعلومات التالية في المطالبات:

    أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

    ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

    جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

    د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، CyberArkXXXXX).

    هـ. حدد وقت التشغيل: اختر Python 3.8.

    و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.

  2. في علامة التبويب Application settings ، حدد ** New application setting**.

  3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف):

    • CyberArkAuditUsername
    • CyberArkAuditPassword
    • CyberArkAuditServerURL
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (اختياري)

    استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

  4. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.