Konektor Vectra XDR (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Konektor Vectra XDR umožňuje ingestovat detekce, audity, vyhodnocování entit, uzamčení a stav dat do Microsoft Sentinelu prostřednictvím rozhraní REST API Vectra. Další informace najdete v dokumentaci https://support.vectra.ai/s/article/KB-VS-1666 k rozhraní API.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Kód aplikace funkcí Azure https://aka.ms/sentinel-VectraXDR-functionapp
Alias funkce Kusto VectraDetections
Adresa URL funkce Kusto https://aka.ms/sentinel-VectraDetections-parser
Tabulky Log Analytics Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Podpora vectra

Ukázky dotazů

Události detekce Vectra – všechny události detekce.

Detections_Data_CL

| sort by TimeGenerated desc

Vectra audituje události – všechny události auditů.

Audits_Data_CL

| sort by TimeGenerated desc

Vectra Entity Scoring Events - All Entity Scoring Events.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Události uzamčení vectra – všechny události uzamčení

Lockdown_Data_CL

| sort by TimeGenerated desc

Vectra Health Events - Všechny zdravotní události.

Health_Data_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat vectra XDR (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje a oprávnění rozhraní REST API: Id klienta Vectra a tajný klíč klienta se vyžadují pro shromažďování dat o stavu, vyhodnocování entit, detekci, uzamčení a auditování dat. Další informace o rozhraní API najdete v dokumentaci.https://support.vectra.ai/s/article/KB-VS-1666

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní API Vectra k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Pomocí těchto kroků vytvořte alias funkcí Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown a VectraHealth podle těchto kroků.

KROK 1 : Kroky konfigurace pro přihlašovací údaje rozhraní API Vectra

Podle těchto pokynů vytvořte ID klienta Vectra a tajný klíč klienta.

  1. Přihlaste se k portálu Vectra.
  2. Přejděte na Spravovat –> Klienti rozhraní API
  3. Na stránce Klienti rozhraní API vyberte Přidat klienta rozhraní API a vytvořte nového klienta.
  4. Přidejte název klienta, vyberte Roli a kliknutím na Vygenerovat přihlašovací údaje získejte své přihlašovací údaje klienta.
  5. Nezapomeňte zaznamenat ID klienta a tajný klíč pro bezpečné uchovávání. K získání přístupového tokenu z rozhraní API Vectra budete potřebovat tyto dva informace. Přístupový token je nutný k provádění požadavků na všechny koncové body rozhraní API Vectra.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru Vectra je k dispozici ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také přihlašovací údaje pro autorizaci rozhraní API Vectra.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru Vectra.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte následující informace:

    • Název funkce
    • ID pracovního prostoru
    • Klíč pracovního prostoru
    • Základní adresa URL vectra https://<vectra-portal-url>
    • ID klienta Vectra – stav
    • Tajný klíč klienta Vectra – stav
    • ID klienta Vectra – bodování entit
    • Tajný klíč klienta Vectra – bodování entit
    • ID klienta Vectra – detekce
    • Tajný klíč klienta Vectra – detekce
    • ID klienta Vectra – audity
    • Tajný klíč klienta Vectra – audity
    • ID klienta Vectra – Uzamčení
    • Tajný klíč klienta Vectra – uzamčení
    • Počáteční čas (ve formátu MM/DD/RRRR HH:MM:SS)
    • Audituje název tabulky.
    • Název tabulky detekce
    • Název tabulky bodování entit
    • Název tabulky uzamčení
    • Název tabulky stavu
    • Úroveň protokolu (výchozí: INFORMACE)
    • Plán uzamčení
    • Plán stavu
    • Plán detekce
    • Plán auditů
    • Plán vyhodnocování entit

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor Vectra ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

  1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

  2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

  3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

  4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

  5. Podle pokynů na obrazovce zadejte tyto informace:

    a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

    b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

    c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

    d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. VECTRAXXXXX).

    e. Vyberte modul runtime: Zvolte Python 3.8 nebo novější.

    f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

  6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

  7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
  2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
  3. Přidejte jednotlivá nastavení aplikace s příslušnými hodnotami (rozlišují se malá a velká písmena):
    • ID pracovního prostoru
    • Klíč pracovního prostoru
    • Základní adresa URL vectra https://<vectra-portal-url>
    • ID klienta Vectra – stav
    • Tajný klíč klienta Vectra – stav
    • ID klienta Vectra – bodování entit
    • Tajný klíč klienta Vectra – bodování entit
    • ID klienta Vectra – detekce
    • Tajný klíč klienta Vectra – detekce
    • ID klienta Vectra – audity
    • Tajný klíč klienta Vectra – audity
    • ID klienta Vectra – Uzamčení
    • Tajný klíč klienta Vectra – uzamčení
    • Počáteční čas (ve formátu MM/DD/RRRR HH:MM:SS)
    • Audituje název tabulky.
    • Název tabulky detekce
    • Název tabulky bodování entit
    • Název tabulky uzamčení
    • Název tabulky stavu
    • Úroveň protokolu (výchozí: INFORMACE)
    • Plán uzamčení
    • Plán stavu
    • Plán detekce
    • Plán auditů
    • Plán vyhodnocování entit
    • LogAnalyticsUri (volitelné)
  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.