Konektor Cloud pro Zabezpečení rubriku (pomocí Azure Functions) pro Microsoft Sentinel

Datový konektor Rubrik Security Cloud umožňuje týmům operací zabezpečení integrovat přehledy ze služeb Pozorování dat Rubrika do Microsoft Sentinelu. Mezi přehledy patří identifikace neobvyklého chování systému souborů spojeného s ransomwarem a hromadným odstraněním, vyhodnocení poloměru výbuchu útoku ransomwarem a operátory citlivých dat za účelem stanovení priorit a rychlejšího zkoumání potenciálních incidentů.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or	Popis
Kód aplikace funkcí Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Tabulky Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Rubrik

Ukázky dotazů

Události anomálií Rubrik – Události anomálií pro všechny typy závažnosti

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Události analýzy ransomwaru Rubrik – Události analýzy ransomwaru pro všechny typy závažnosti.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Události Rubrik ThreatHunt – Události pro vyhledávání hrozeb pro všechny typy závažnosti.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat datový konektor Rubrik Security Cloud (pomocí Azure Functions), ujistěte se, že máte:

• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k webhooku Rubrik, který odešle protokoly do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru Rubrik Microsoft Sentinelu je možné snadno zkopírovat ID pracovního prostoru a primární klíč pracovního prostoru (můžete zkopírovat z následujícího).

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru Rubrik.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte následující informace: Klíč pracovního prostoru id pracovního prostoru názvu funkce Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor Rubrik Microsoft Sentinel ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

5. Podle pokynů na obrazovce zadejte tyto informace:

   a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

   b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

   c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

   d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. RubrikXXXXX).

   e. Vyberte modul runtime: Zvolte Python 3.8 nebo novější.

   f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
3. Přidejte jednotlivá nastavení aplikace s příslušnými hodnotami (rozlišují se malá a velká písmena): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (volitelné)

• K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.

4. Po zadání všech nastavení aplikace klikněte na Uložit.

Kroky po nasazení

1. Získání koncového bodu aplikace funkcí

1. Přejděte na stránku Přehled funkce Azure a klikněte na kartu Funkce .
2. Klikněte na funkci s názvem RubrikHttpStarter.
3. Přejděte na GetFunctionurl a zkopírujte adresu URL funkce.

2. Přidejte webhook v RubrikSecurityCloud pro odesílání dat do Microsoft Sentinelu.

Podle pokynů k uživatelské příručce Rubrik přidejte webhook a začněte přijímat informace o událostech souvisejících s anomáliemi ransomwaru.

1. Vyberte obecný jako zprostředkovatele webhooku (Použije se informace o událostech formátovaných cef)
2. Jako koncový bod adresy URL webhooku zadejte část URL adresy URL zkopírované funkce a jako řešení Rubrik Microsoft Sentinel nahraďte {functionname}rubrikAnomalyOrchestrator.
3. Výběr možnosti Rozšířené nebo vlastní ověřování
4. Jako hlavičku HTTP zadejte klíč x-functions-key.
5. Zadejte přístupový klíč funkce (hodnotu parametru kódu zkopírované adresy URL funkce) jako hodnotu HTTP(Poznámka: pokud tento přístupový klíč funkce změníte v Microsoft Sentinelu v budoucnu, budete muset tuto konfiguraci webhooku aktualizovat).
6. Výběr třídy EventType jako anomálií
7. Vyberte následující úrovně závažnosti: Kritické, Upozornění, Informační
8. Stejným postupem přidejte webhooky pro analýzu ransomwaru a vyhledávání hrozeb.

POZNÁMKA: Při přidávání webhooků pro analýzu ransomwaru a vyhledávání hrozeb nahraďte {functionname}rubrikRansomwareOrchestrator a RubrikThreatHuntOrchestrator v zkopírované adrese URL funkce.

Teď jsme hotovi s konfigurací rubrik Webhooku. Po aktivaci událostí webhooku byste měli být schopni zobrazit anomálie, analýzu ransomwaru, události pro vyhledávání hrozeb z Rubriku do příslušné tabulky pracovního prostoru LogAnalytics s názvem "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.