Pracoviště z Facebooku (pomocí Azure Functions) konektoru pro Microsoft Sentinel

  • Článek

Datový konektor Pracoviště poskytuje možnost ingestovat běžné události pracoviště do Microsoft Sentinelu prostřednictvím webhooků. Webhooky umožňují vlastním aplikacím integrace přihlásit se k odběru událostí na pracovišti a přijímat aktualizace v reálném čase. Když dojde ke změně na pracovišti, odešle se požadavek HTTPS POST s informacemi o události na adresu URL datového konektoru zpětného volání. Další informace najdete v dokumentaci k webhookům. Konektor poskytuje možnost získat události, které pomáhají zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics Workplace_Facebook_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Microsoft Corporation

Ukázky dotazů

Události na pracovišti – všechny aktivity.

Workplace_Facebook_CL

| sort by TimeGenerated desc

Požadavky

Pokud se chcete integrovat s pracovištěm z Facebooku (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje a oprávnění webhooků: WorkplaceAppSecret, WorkplaceVerifyToken, adresa URL zpětného volání jsou vyžadována pro pracovní webhooky. Další informace o konfiguraci webhooků a konfiguraci oprávnění najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor používá Azure Functions na základě triggeru HTTP pro čekání požadavků POST s protokoly k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací Azure Functions.

Poznámka:

Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias WorkplaceFacebook a načtěte kód funkce nebo klikněte sem na druhý řádek dotazu, zadejte názvy hostitelů vašich zařízení na Facebooku na pracovišti a všechny další jedinečné identifikátory pro logstream. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

KROK 1 : Kroky konfigurace pro pracoviště

Podle pokynů nakonfigurujte webhooky.

  1. Přihlaste se k pracovišti pomocí Správa přihlašovacích údajů uživatele.
  2. Na panelu Správa klikněte na Integrace.
  3. V zobrazení Všechny integrace klikněte na Vytvořit vlastní integraci.
  4. Zadejte název a popis a klikněte na Vytvořit.
  5. Na panelu Podrobností o integraci se zobrazí tajný klíč a kopírování aplikace.
  6. V podokně Oprávnění integrace nastavte všechna oprávnění ke čtení. Podrobnosti najdete na stránce oprávnění.
  7. Teď pokračujte krokem 2 a postupujte podle kroků (uvedených v možnosti 1 nebo 2) k nasazení funkce Azure Functions.
  8. Zadejte požadované parametry a zadejte také zvolený token. Zkopírujte tento token / Poznamenejte si ho pro nadcházející krok.
  9. Po úspěšném nasazení Služby Azure Functions otevřete stránku aplikace Funkcí, vyberte aplikaci, přejděte na Příkaz Funkce, klikněte na Získat adresu URL funkce a zkopírujte ji / Poznamenejte si ji pro nadcházející krok.
  10. Vraťte se na pracoviště z Facebooku. Na panelu Konfigurovat webhooky na každé kartě nastavte adresu URL zpětného volání jako stejnou hodnotu, kterou jste zkopírovali v bodě 9 výše, a ověřte token jako stejnou hodnotu, kterou jste zkopírovali v bodě 8 výše, která byla získána během kroku 2 nasazení Azure Functions.
  11. Klikněte na Uložit.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružených funkcí Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru Pracoviště použijte ID pracovního prostoru a primární klíč pracovního prostoru (můžete zkopírovat z následujícího kódu).

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.