Connecteur API Protection pour Microsoft Sentinel
Connecte la protection d’API 42Crunch à Azure Log Analytics via l’interface API REST
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | apifirewall_log_1_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Protection d’API 42Crunch |
Exemples de requête
Demandes d’API dont le débit était limité
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Demandes d’API générant une erreur de serveur
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Échec de la validation JWT des demandes d’API
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Instructions d’installation du fournisseur
Étape 1 : Lire la documentation détaillée
Le processus d’installation est documenté en détail dans l’intégration de Microsoft Sentinel dans le référentiel GitHub. L’utilisateur doit consulter ce référentiel plus en détail pour comprendre l’installation et le débogage de l’intégration.
Étape 2 : Récupérer les informations d’identification d’accès à l’espace de travail
La première étape d’installation consiste à récupérer à la fois votre ID d’espace de travail et votre clé primaire à partir de la plateforme Sentinel. Copiez les valeurs indiquées ci-dessous et enregistrez-les pour la configuration de l’intégration du redirecteur de journal d’API.
Étape 3 : Installer la protection 42Crunch et le redirecteur de journal
L’étape suivante consiste à installer la protection 42Crunch et le redirecteur de journal pour protéger votre API. Les deux composants sont disponibles en tant que conteneurs à partir du référentiel 42Crunch. L’installation exacte dépend de votre environnement. Consultez la documentation sur la protection 42Crunch pour plus d’informations. Deux scénarios d’installation courants sont décrits ci-dessous :
Installation via Docker Compose
La solution peut être installée à l’aide d’un fichier de composition Docker.
Installation via des graphiques Helm
La solution peut être installée à l’aide d’un graphique Helm.
Étape 4 : Tester l’ingestion des données
Pour tester l’ingestion des données, l’utilisateur doit déployer l’exemple d’application httpbin avec la protection 42Crunch et le redirecteur de journal décrits en détail ici.
4.1 Installer l’exemple
L’exemple d’application peut être installé localement à l’aide d’un fichier de composition Docker qui installera le serveur d’API httpbin, la protection d’API 42Crunch et le redirecteur de journaux Sentinel. Définissez les variables d’environnement en fonction des besoins à l’aide des valeurs copiées à l’étape 2.
4.2. Exécution de l'exemple
Vérifiez que la protection d’API est connectée à la plateforme 42Crunch, puis exercez l’API localement sur le localhost au port 8080 à l’aide de Postman, curl ou similaire. Vous devez voir un mélange d’appels d’API réussis et d’échecs.
4.3 Vérifier l’ingestion des données sur Log Analytics
Après environ 20 minutes, accédez à l’espace de travail Log Analytics sur votre installation Sentinel, puis recherchez la section Journaux personnalisés pour vérifier qu’il existe une table apifirewall_log_1_CL. Utilisez les exemples de requêtes pour examiner les données.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.