Conector API Protection para Microsoft Sentinel
Conecta API Protection de 42Crunch a Azure Log Analytics a través de la interfaz de la API REST.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | apifirewall_log_1_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | API Protection de 42Crunch |
Ejemplos de consultas
Solicitudes de API limitadas por velocidad
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Solicitudes de API que generan un error de servidor
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Solicitudes de API con errores de validación de JWT
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Instrucciones de instalación del proveedor
Paso 1: Leer la documentación detallada
El proceso de instalación se documenta con gran detalle en la integración de Microsoft Sentinel del repositorio de GitHub. El usuario debe consultar este repositorio para comprender la instalación y depuración de la integración.
Paso 2: Recuperar las credenciales de acceso al área de trabajo
El primer paso de instalación es recuperar el identificador del área de trabajo y la clave principal de la plataforma Sentinel. Copie los valores que se muestran a continuación y guárdelos para la configuración de la integración del reenviador de registros de API.
Paso 3: Instalar la protección de 42Crunch y el reenviador de registros
El siguiente paso es instalar la protección de 42Crunch y el reenviador de registros para proteger la API. Ambos componentes están disponibles como contenedores en el repositorio 42Crunch. La instalación exacta dependerá de su entorno, consulte la documentación de protección de 42Crunch para obtener detalles completos. A continuación se describen dos escenarios de instalación comunes:
Instalación a través de Docker Compose
La solución se puede instalar mediante un archivo de Docker Compose.
Instalación mediante gráficos de Helm
La solución se puede instalar mediante un gráfico de Helm.
Paso 4: Probar la ingesta de datos
Para probar la ingesta de datos, el usuario debe implementar la aplicación httpbin de ejemplo junto con la protección de 42Crunch y el reenviador de registros que se describen en detalle aquí.
4.1 Instalar el ejemplo
La aplicación de ejemplo se puede instalar localmente mediante un archivo de Docker Compose que instalará el servidor de API httpbin, API Protection de 42Crunch y el reenviador de registros de Sentinel. Establezca las variables de entorno según sea necesario mediante los valores copiados del paso 2.
4.2. Ejecutar el ejemplo
Compruebe que API Protection esté conectado a la plataforma de 42Crunch y, a continuación, ejecute la API localmente en localhost en el puerto 8080 mediante Postman, curl o similar. Debería ver una combinación de llamadas API que se superan y producen errores.
4.3 Comprobar la ingesta de datos en Log Analytics
Después de aproximadamente 20 minutos, acceda al área de trabajo de Log Analytics en la instalación de Sentinel y busque la sección Registros personalizados para comprobar que existe una tabla apifirewall_log_1_CL. Use las consultas de ejemplo para examinar los datos.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.