Tenable.io Konektor pro správu ohrožení zabezpečení (pomocí funkce Azure) pro Microsoft Sentinel
Datový konektor Tenable.io poskytuje možnost ingestovat data o prostředcích a ohroženích zabezpečení do Služby Microsoft Sentinel prostřednictvím rozhraní REST API z platformy Tenable.io (spravované v cloudu). Další informace najdete v dokumentaci k rozhraní API. Konektor poskytuje možnost získat data, která pomáhají zkoumat potenciální rizika zabezpečení, získat přehled o výpočetních prostředcích, diagnostikovat problémy s konfigurací a provádět další informace.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Nastavení aplikace | TenableAccessKey TenableSecretKey ID pracovního prostoru WorkspaceKey LogAnalyticsUri (volitelné) |
Kód aplikace funkcí Azure | https://aka.ms/sentinel-TenableIO-functionapp |
Tabulky Log Analytics | Tenable_IO_Assets_CL Tenable_IO_Vuln_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Tenantable |
Ukázky dotazů
Sestava virtuálního počítače TenableIO – všechny prostředky
Tenable_IO_Assets_CL
| sort by TimeGenerated desc
Sestava virtuálního počítače TenableIO – všechny virtuální počítače
Tenable_IO_Vuln_CL
| sort by TimeGenerated desc
Vyberte jedinečná ohrožení zabezpečení podle konkrétního prostředku.
Tenable_IO_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Vyberte všechny prostředky Azure.
Tenable_IO_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Požadavky
Pokud chcete provést integraci se správou ohrožení zabezpečení Tenable.io (pomocí funkce Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Pro přístup k rozhraní REST API pro tenable se vyžaduje klíč TenableAccessKey i TenableSecretKey . Další informace o rozhraní API najdete v dokumentaci. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Durable Functions k připojení k rozhraní TENABLE.IO API k načtení prostředků a ohrožení zabezpečení v pravidelných intervalech do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru Tenable.io ohrožení zabezpečení a analyzátoru Tenable.io pro prostředky založené na funkci Kusto, která funguje podle očekávání, která se nasadí s řešením Microsoft Sentinel.
KROK 1 – Kroky konfigurace pro Tenable.io
Podle pokynů získejte požadované přihlašovací údaje rozhraní API.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení a nasaďte konektor a přidruženou aplikaci Funkcí Azure
DŮLEŽITÉ: Před nasazením datového konektoru pracovního prostoru zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího).
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení datového konektoru sestavy pro správu ohrožení zabezpečení Tenable.io pomocí šablony ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
POZNÁMKA: Ve stejné skupině prostředků nemůžete kombinovat aplikace pro Windows a Linux ve stejné oblasti. Vyberte existující skupinu prostředků bez aplikací pro Windows nebo vytvořte novou skupinu prostředků. 3. Zadejte klíč TenableAccessKey a TenableSecretKey a nasaďte. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Functions
Pomocí následujících podrobných pokynů nasaďte datový konektor sestavy pro správu ohrožení zabezpečení Tenable.io ručně pomocí služby Azure Functions (nasazení přes Visual Studio Code).
1. Nasazení aplikace funkcí
POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.
Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.
Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.
Vyberte složku nejvyšší úrovně z extrahovaných souborů.
Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.
Podle pokynů na obrazovce zadejte tyto informace:
a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.
b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.
c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).
d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. TenableIOXXXXXXX).
e. Vyberte modul runtime: Zvolte Python 3.8.
f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.
Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.
Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.
2. Konfigurace aplikace funkcí
- V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
- Na kartě Nastavení aplikace vyberte Nové nastavení aplikace.
- Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (volitelné)
- K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu:
https://<WorkspaceID>.ods.opinsights.azure.us
. 3. Po zadání všech nastavení aplikace klepněte na tlačítko Uložit.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.