Konektor AbnormalSecurity (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Datový konektor neobvyklého zabezpečení poskytuje možnost ingestovat hrozby a případové protokoly do Služby Microsoft Sentinel pomocí neobvyklého rozhraní REST API zabezpečení.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Nastavení aplikace SENTINEL_WORKSPACE_ID
SENTINEL_SHARED_KEY
ABNORMAL_SECURITY_REST_API_TOKEN
logAnalyticsUri (volitelné)(přidejte všechna další nastavení vyžadovaná aplikací funkcí)Nastavte uri hodnotu na: <add uri value>
Kód aplikace funkcí Azure https://aka.ms/sentinel-abnormalsecurity-functionapp
Tabulky Log Analytics ABNORMAL_THREAT_MESSAGES_CL
ABNORMAL_CASES_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Neobvyklé zabezpečení

Ukázky dotazů

Všechny protokoly neobvyklých bezpečnostních hrozeb

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Všechny protokoly neobvyklých případů zabezpečení

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci s abnormální zabezpečením (pomocí Azure Functions), ujistěte se, že máte:

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní REST API neobvyklého zabezpečení k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

KROK 1 : Kroky konfigurace pro neobvyklé Rozhraní API pro zabezpečení

Pokud chcete nakonfigurovat integraci rozhraní REST API, postupujte podle těchto pokynů , které poskytuje neobvyklé zabezpečení. Poznámka: Vyžaduje se neobvyklý účet zabezpečení.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru neobvyklého zabezpečení použijte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také neobvyklý autorizační token Rozhraní API pro zabezpečení, který je snadno dostupný.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tato metoda poskytuje automatizované nasazení konektoru neobvyklého zabezpečení pomocí šablony ARM.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte ID pracovního prostoru služby Microsoft Sentinel, sdílený klíč služby Microsoft Sentinel a neobvyklý klíč rozhraní REST API pro zabezpečení.

  • Výchozí časový interval je nastavený tak, aby načítá posledních pět (5) minut dat. Pokud je potřeba upravit časový interval, doporučujeme odpovídajícím způsobem změnit trigger časovače aplikace funkcí (v souboru function.json, po nasazení), aby se zabránilo překrývání dat.
  1. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
  2. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor Neobvyklé zabezpečení ručně pomocí služby Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

  1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

  2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

  3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

  4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

  5. Podle pokynů na obrazovce zadejte tyto informace:

    a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

    b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

    c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

    d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. AbnormalSecurityXX).

    e. Vyberte modul runtime: Zvolte Python 3.8.

    f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

  6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

  7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
  2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
  3. Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (volitelné) (přidejte všechna další nastavení vyžadovaná aplikací funkcí) Nastavte uri hodnotu na: <add uri value>

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v referenční dokumentaci ke službě Azure Key Vault.

  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; v cloudovém prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.