Rubrik Security Cloud-Datenconnector (über Azure Functions) für Microsoft Sentinel

Mit dem Rubrik Security Cloud-Datenconnector können Security Operations-Teams Erkenntnisse aus den Dateneinblickdiensten von Rubrik in Microsoft Sentinel integrieren. Die Erkenntnisse umfassen die Identifizierung von anomalem Dateisystemverhalten im Zusammenhang mit Ransomware und Massenlöschungen, die Bewertung des Auswirkungsgrads eines Ransomware-Angriffs sowie vertrauliche Daten, damit Operatoren potenzielle Incidents priorisieren und schneller untersuchen können.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut	BESCHREIBUNG
Azure-Funktions-App-Code	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics-Tabellen	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Rubrik

Abfragebeispiele

Rubrik-Anomalieereignisse: Anomalieereignisse für alle Schweregradtypen

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik-Ransomwareanalyseereignisse: Ransomwareanalyseereignisse für alle Schweregradtypen

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik-ThreadHunt-Ereignisse: ThreadHunt-Ereignisse für alle Schweregradtypen

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration mit dem Rubrik Security Cloud-Datenconnector (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit dem Rubrik-Webhook her, der die zugehörigen Protokolle an Microsoft Sentinel pusht. Dies kann zusätzliche Kosten für die Datenerfassung verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen.

WICHTIG: Halten Sie vor der Bereitstellung des Rubrik Microsoft Sentinel-Datenconnectors die Arbeitsbereichs-ID und den Primärschlüssel für den Arbeitsbereich bereit (können aus dem Folgenden kopiert werden).

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Rubrik-Connectors.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

3. Geben Sie die folgenden Informationen ein: Funktionsname, Arbeitsbereichs-ID, Arbeitsbereichsschlüssel, „Anomalies_table_name“, „RansomwareAnalysis_table_name“, „ThreatHunts_table_name“ und „LogLevel“.

4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den Rubrik Microsoft Sentinel-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

   a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

   d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (Beispiel: RubrikXXXXX).

   e. Runtime auswählen: Wählen Sie mindestens „Python 3.8“ aus.

   f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (Groß-/Kleinschreibung beachten): „WorkspaceID“, „WorkspaceKey“, „Anomalies_table_name“, „RansomwareAnalysis_table_name“, „ThreatHunts_table_name“, „LogLevel“, „logAnalyticsUri“ (optional)

• Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Schritte nach der Bereitstellung

1. Abrufen des Funktions-App-Endpunkts

1. Wechseln Sie zur Übersichtsseite der Azure-Funktion, und klicken Sie auf dem linken Blatt auf „Funktionen“.
2. Klicken Sie auf die Funktion „RubrikHttpStarter“.
3. Wechseln Sie zu „GetFunctionurl“, und kopieren Sie die Funktions-URL.

2. Fügen Sie einen Webhook in RubrikSecurityCloud hinzu, um Daten an Microsoft Sentinel zu senden.

Führen Sie die im Rubrik-Benutzerhandbuch beschriebenen Schritte zum Hinzufügen eines Webhooks aus, um Ereignisinformationen im Zusammenhang mit Ransomware-Anomalien zu erhalten.

1. Wählen Sie den generischen Webhookanbieter aus. (Dadurch werden CEF-Ereignisinformationen verwendet.)
2. Geben Sie den URL-Teil aus der kopierten Funktions-URL als Webhook-URL-Endpunkt ein, und ersetzen Sie {functionname} durch „RubrikAnomalyOrchestrator“ für die Rubrik Microsoft Sentinel-Lösung.
3. Wählen Sie die Option „Erweiterte oder benutzerdefinierte Authentifizierung“ aus.
4. Geben Sie „x-functions-key“ als HTTP-Header ein.
5. Geben Sie den Funktionszugriffsschlüssel (Wert des Codeparameters aus der kopierten Funktions-URL) als HTTP-Wert ein (Hinweis: Wenn Sie diesen Funktionszugriffsschlüssel in Microsoft Sentinel in Zukunft ändern, müssen Sie diese Webhook-Konfiguration aktualisieren).
6. Wählen Sie „EventType“ als Anomalie aus.
7. Wählen Sie die folgenden Schweregrade aus: „Critical“, „Warning“, „Informational“
8. Wiederholen Sie dieselben Schritte, um Webhooks für die Ransomware-Untersuchungsanalyse und Bedrohungssuche hinzuzufügen.

HINWEIS: Ersetzen Sie beim Hinzufügen von Webhooks für die Ransomware-Untersuchungsanalyse und Bedrohungssuche {functionname} durch „RubrikRansomwareOrchestrator“ bzw. „RubrikThreatHuntOrchestrator“ in der kopierten Funktions-URL.

Damit ist die Konfiguration des Rubrik-Webhooks abgeschlossen. Nachdem die Webhookereignisse ausgelöst wurden, werden im Log Analytics-Arbeitsbereich Ereignisse für Anomalien, Ransomware-Untersuchungsanalyse und Bedrohungssuche in der jeweiligen LogAnalytics-Arbeitsbereichstabelle („Rubrik_Anomaly_Data_CL“, „Rubrik_Ransomware_Data_CL“ bzw. „Rubrik_ThreatHunt_Data_CL“) angezeigt.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.