Łącznik danych chmury rubrik Security (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik danych platformy Rubrik Security Cloud umożliwia zespołom ds. operacji zabezpieczeń integrowanie szczegółowych informacji z usług analizy danych języka Rubrik w usłudze Microsoft Sentinel. Szczegółowe informacje obejmują identyfikację nietypowego zachowania systemu plików skojarzonego z oprogramowaniem wymuszającym okup i masowe usunięcie, ocenę promienia wybuchu ataku wymuszającego okup oraz operatorów danych poufnych w celu określenia priorytetów i szybszego zbadania potencjalnych zdarzeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or	opis
Kod aplikacji funkcji platformy Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Tabele usługi Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Obsługa reguł zbierania danych	Obecnie nieobsługiwane
Obsługiwane przez	Rubrik

Przykłady zapytań

Zdarzenia anomalii rubrik — zdarzenia anomalii dla wszystkich typów ważności.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Zdarzenia analizy oprogramowania wymuszającego okup języka Rubrik — zdarzenia analizy oprogramowania wymuszającego okup dla wszystkich typów ważności.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Zdarzenia Rubrik ThreatHunt — zdarzenia wyszukiwania zagrożeń dla wszystkich typów ważności.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z łącznikiem danych usługi Rubrik Security Cloud (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

• Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z elementem webhook języka Rubrik, który wypycha dzienniki do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych usługi Rubrik Microsoft Sentinel należy łatwo udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następującego).

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Języka Rubrik.

1. Kliknij przycisk Wdróż na platformie Azure poniżej.

   

2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

3. Wprowadź poniższe informacje: Klucz obszaru roboczego identyfikatora obszaru roboczego nazwy funkcji Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych rubrik Microsoft Sentinel za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

5. Podaj następujące informacje po wyświetleniu monitów:

   a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

   b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

   c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

   d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. RubrikXXXXX).

   e. Wybierz środowisko uruchomieniowe: wybierz język Python w wersji 3.8 lub nowszej.

   f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (opcjonalnie)

• Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Kroki po wdrożeniu

1. Pobieranie punktu końcowego aplikacji funkcji

1. Przejdź do strony Przegląd funkcji platformy Azure i kliknij kartę "Funkcje".
2. Kliknij funkcję o nazwie "RubrikHttpStarter".
3. Przejdź do pozycji "GetFunctionurl" i skopiuj adres URL funkcji.

2. Dodaj element webhook w usłudze RubrikSecurityCloud, aby wysyłać dane do usługi Microsoft Sentinel.

Postępuj zgodnie z instrukcjami podręcznika użytkownika języka Rubrik, aby rozpocząć odbieranie informacji o zdarzeniach związanych z anomaliami oprogramowania wymuszającego okup

1. Wybierz typ ogólny jako dostawca elementu webhook(Spowoduje to użycie informacji o zdarzeniach sformatowanych w formacie CEF)
2. Wprowadź część adresu URL skopiowanego adresu URL funkcji jako punkt końcowy adresu URL elementu webhook i zastąp ciąg {functionname} ciągiem "RubrikAnomalyOrchestrator" dla rozwiązania Rubrik Microsoft Sentinel
3. Wybierz opcję Zaawansowane lub Niestandardowe uwierzytelnianie
4. Wprowadź x-functions-key jako nagłówek HTTP
5. Wprowadź klucz dostępu funkcji (wartość parametru kodu z skopiowanego adresu URL funkcji) jako wartość HTTP (Uwaga: jeśli zmienisz ten klucz dostępu funkcji w usłudze Microsoft Sentinel w przyszłości, musisz zaktualizować tę konfigurację elementu webhook)
6. Wybierz typ zdarzenia jako anomalię
7. Wybierz następujące poziomy ważności: Krytyczne, Ostrzeżenie, Informacyjne
8. Powtórz te same kroki, aby dodać elementy webhook do analizy badania oprogramowania wymuszającego okup i wyszukiwania zagrożeń.

UWAGA: podczas dodawania elementów webhook do analizy badania oprogramowania wymuszającego okup i wyszukiwania zagrożeń zastąp ciąg {functionname} ciągiem "RubrikRansomwareOrchestrator" i "RubrikThreatHuntOrchestrator" odpowiednio w skopiowanym adresie URL funkcji.

Teraz skończymy z konfiguracją elementu webhook rubrik. Po wyzwoleniu zdarzeń elementu webhook powinno być możliwe wyświetlenie zdarzeń Anomaly, Ransomware Investigation Analysis, Threat Hunt z rubrik w odpowiedniej tabeli obszaru roboczego LogAnalytics o nazwie "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.