Rubrik Security Cloud-adatösszekötő (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Rubrik Security Cloud-adatösszekötő lehetővé teszi a biztonsági üzemeltetési csapatok számára, hogy a Rubrik Adatmegfigyelési szolgáltatásaiból származó megállapításokat integrálják a Microsoft Sentinelbe. Az elemzések közé tartozik a zsarolóprogramokhoz és a tömeges törléshez kapcsolódó rendellenes fájlrendszer-viselkedés azonosítása, a ransomware-támadások robbanási sugarának felmérése, valamint a bizalmas adatszolgáltatók a potenciális incidensek rangsorolása és gyorsabb kivizsgálása érdekében.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics-tábla(ok) Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Rubrik

Példák lekérdezésekre

Rubrik Anomáliadetektációk – Anomáliadetektációk minden súlyossági típushoz.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik Ransomware Analysis Events - Ransomware Analysis Events minden súlyossági típushoz.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik ThreatHunt-események – Threat Hunt-események minden súlyossági típushoz.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Előfeltételek

A Rubrik Security Cloud-adatösszekötővel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Rubrik-webhookhoz, amelyek leküldik a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a kapcsolódó Azure-függvény üzembe helyezéséhez

FONTOS: A Rubrik Microsoft Sentinel adatösszekötő üzembe helyezése előtt legyen elérhető a munkaterület azonosítója és a munkaterület elsődleges kulcsa (az alábbiakból másolható).

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ez a módszer a Rubrik-összekötő automatikus üzembe helyezéséhez használható.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg az alábbi adatokat: Függvénynév munkaterület-azonosító munkaterületkulcsa Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A Rubrik Microsoft Sentinel adatösszekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functionsben (Üzembe helyezés a Visual Studio Code-on keresztül).

1. Függvényalkalmazás üzembe helyezése

MEGJEGYZÉS: VS-kódot kell előkészítenie az Azure-függvények fejlesztéséhez.

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.

  2. Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.

  3. Válassza ki a legfelső szintű mappát a kibontott fájlokból.

  4. Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.

  5. Amikor a rendszer kéri, adja meg az alábbi információkat:

    a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.

    b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.

    c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)

    d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. RubrikXXXXX).

    e. Válasszon futtatókörnyezetet: Válassza a Python 3.8 vagy újabb verzióját.

    f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.

  6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

  7. Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.

2. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő értékekkel (kis- és nagybetűk megkülönböztetésével): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (nem kötelező)
  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.
  1. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Üzembe helyezés utáni lépések

  1. A függvényalkalmazás végpontjának lekérése
  1. Lépjen az Azure-függvények áttekintési lapjára, és kattintson a "Függvények" fülre.
  2. Kattintson a "RubrikHttpStarter" nevű függvényre.
  3. Lépjen a GetFunctionurl lapra, és másolja ki a függvény URL-címét.
  1. Adjon hozzá egy webhookot a RubrikSecurityCloudban, hogy adatokat küldjön a Microsoft Sentinelnek.

Kövesse a Rubrik felhasználói útmutató utasításait a Webhook hozzáadásához a Ransomware anomáliákkal kapcsolatos eseményinformációk fogadásához

  1. Válassza ki az általánost webhookszolgáltatóként (ez CEF formátumú eseményinformációkat fog használni)
  2. Adja meg az URL-részt a másolt függvény-URL-címből webhook URL-végpontként, és cserélje le a {functionname}kifejezést a Rubrik Microsoft Sentinel-megoldás "RubrikAnomalyOrchestrator" elemére
  3. Válassza a Speciális vagy az Egyéni hitelesítés lehetőséget
  4. Adja meg az x-functions-billentyűt HTTP-fejlécként
  5. HTTP-értékként adja meg a függvényelérési kulcsot (a másolt függvény URL-címéből származó kódparaméter értékét). (Megjegyzés: ha a jövőben módosítja ezt a függvényelérési kulcsot a Microsoft Sentinelben, frissítenie kell ezt a webhook-konfigurációt)
  6. Az EventType kiválasztása anomáliaként
  7. Válassza ki a következő súlyossági szinteket: Kritikus, Figyelmeztetés, Tájékoztató
  8. Ismételje meg ugyanazokat a lépéseket, hogy webhookokat adjon hozzá a Ransomware vizsgálati elemzéséhez és a Threat Hunthoz.

MEGJEGYZÉS: miközben webhookokat ad hozzá a Ransomware-vizsgálat elemzéséhez és a Threat Hunthoz, cserélje le {functionname}-t a "RubrikRansomwareOrchestrator" és a "RubrikThreatHuntOrchestrator" kifejezésre a másolt függvény URL-címére.

Most elkészültünk a Rubrik Webhook konfigurációjával. A webhook eseményeinek aktiválása után látnia kell az Anomáliát, a Ransomware-vizsgálatelemzést, a Threat Hunt eseményeket a Rubrikból a megfelelő LogAnalytics-munkaterületi táblába ,,Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.