Microsoft Sentinel 用 Vectra XDR (Azure Functions を使用) コネクタ

  • [アーティクル]

Vectra XDR コネクタでは、Vectra REST API 経由で Vectra 検出、監査、エンティティ スコアリング、ロックダウン、正常性データを Microsoft Sentinel に取り込む機能が提供されています。 詳細については、API のドキュメント (https://support.vectra.ai/s/article/KB-VS-1666) を参照してください。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://aka.ms/sentinel-VectraXDR-functionapp
Kusto 関数エイリアス VectraDetections
Kusto 関数 URL https://aka.ms/sentinel-VectraDetections-parser
Log Analytics テーブル Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Vectra サポート

クエリのサンプル

Vectra 検出イベント - すべての検出イベント。

Detections_Data_CL

| sort by TimeGenerated desc

Vectra 監査イベント - すべての監査イベント。

Audits_Data_CL

| sort by TimeGenerated desc

Vectra エンティティ スコアリング イベント - すべてのエンティティ スコアリング イベント。

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Vectra ロックダウン イベント - すべてのロックダウン イベント。

Lockdown_Data_CL

| sort by TimeGenerated desc

Vectra 正常性イベント - すべての正常性イベント。

Health_Data_CL

| sort by TimeGenerated desc

前提条件

Vectra XDR (Azure Functions を使用) と統合する場合は、以下があることを確認してください。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • REST API の資格情報/アクセス許可: 正常性、エンティティ スコアリング、検出、ロックダウン、および監査のデータ収集には、Vectra クライアント IDクライアント シークレットが必要です。 API の詳細については、こちらのドキュメント https://support.vectra.ai/s/article/KB-VS-1666 を参照してください。

ベンダーのインストール手順

Note

このコネクタでは Azure Functions を使用して Vectra API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

注意

このデータ コネクタは、Kusto 関数に基づくパーサーに依存して正常に動作します。 検出パーサー監査パーサーエンティティ スコアリング パーサーロックダウン パーサー、および正常性パーサーのこれらの手順に従って、Kusto 関数エイリアス、VectraDetectionsVectraAuditsVectraEntityScoringVectraLockdown、および VectraHealth を作成してください。

手順 1 - Vectra API 資格情報の構成手順

次の手順に従って、Vectra クライアント ID とクライアント シークレットを作成します。

  1. Vectra ポータルにログインします
  2. [管理] -> [API クライアント] に移動します
  3. [API クライアント] ページで、[API クライアントの追加] を選択して新しいクライアントを作成します。
  4. [クライアント名] を追加し、[ロール] を選択し、[資格情報の生成] をクリックしてクライアント資格情報を取得します。
  5. 安全に保管するために、必ずクライアント ID とシークレット キーを記録してください。 Vectra API からアクセス トークンを取得するには、これら 2 つの情報が必要です。 すべての Vectra API エンドポイントに要求を行うには、アクセス トークンが必要です。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Vectra データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Vectra API の認可資格情報をすぐに使用できるようにしておいてください

オプション 1 - Azure Resource Manager (ARM) テンプレート

Vectra コネクタの自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 次の情報を追加します。

    • 関数名
    • ワークスペース ID
    • ワークスペース キー
    • Vectra ベース URL https://<vectra-portal-url>
    • Vectra クライアント ID - 正常性
    • Vectra クライアント シークレット キー - 正常性
    • Vectra クライアント ID - エンティティ スコアリング
    • Vectra クライアント シークレット - エンティティ スコアリング
    • Vectra クライアント ID - 検出
    • Vectra クライアント シークレット - 検出
    • Vectra クライアント ID - 監査
    • Vectra クライアント シークレット - 監査
    • Vectra クライアント ID - ロックダウン
    • Vectra クライアント シークレット - ロックダウン
    • StartTime (MM/DD/YYYY HH:MM:SS 形式)
    • 監査テーブル名
    • 検出テーブル名
    • エンティティ スコアリング テーブル名
    • ロックダウン テーブル名
    • 正常性テーブル名
    • ログ レベル (既定値: INFO)
    • ロックダウン スケジュール
    • 正常性スケジュール
    • 検出スケジュール
    • 監査スケジュール
    • エンティティ スコアリング スケジュール

  4. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使って Vectra データ コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。

1. 関数アプリをデプロイする

注: Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: VECTRAXXXXX)。

    e. Select a runtime (ランタイムの選択): Python 3.8 以上を選択します。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

2. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
  2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
  3. 次の各アプリケーション設定を、それぞれの値で個別に追加します (大文字と小文字を区別します)。
    • ワークスペース ID
    • ワークスペース キー
    • Vectra ベース URL https://<vectra-portal-url>
    • Vectra クライアント ID - 正常性
    • Vectra クライアント シークレット キー - 正常性
    • Vectra クライアント ID - エンティティ スコアリング
    • Vectra クライアント シークレット - エンティティ スコアリング
    • Vectra クライアント ID - 検出
    • Vectra クライアント シークレット - 検出
    • Vectra クライアント ID - 監査
    • Vectra クライアント シークレット - 監査
    • Vectra クライアント ID - ロックダウン
    • Vectra クライアント シークレット - ロックダウン
    • StartTime (MM/DD/YYYY HH:MM:SS 形式)
    • 監査テーブル名
    • 検出テーブル名
    • エンティティ スコアリング テーブル名
    • ロックダウン テーブル名
    • 正常性テーブル名
    • ログ レベル (既定値: INFO)
    • ロックダウン スケジュール
    • 正常性スケジュール
    • 検出スケジュール
    • 監査スケジュール
    • エンティティ スコアリング スケジュール
    • logAnalyticsUri (省略可能)
  • 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。
  1. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。