Nietypowy łącznik zabezpieczeń (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik nietypowych danych zabezpieczeń umożliwia pozyskiwanie dzienników zagrożeń i przypadków w usłudze Microsoft Sentinel przy użyciu interfejsu API REST nietypowych zabezpieczeń.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or	opis
Ustawienia aplikacji	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcjonalnie)(dodaj inne ustawienia wymagane przez aplikację funkcji)Ustaw uri wartość na: <add uri value>
Kod aplikacji funkcji platformy Azure	https://aka.ms/sentinel-abnormalsecurity-functionapp
Tabele usługi Log Analytics	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
Obsługa reguł zbierania danych	Obecnie nieobsługiwane
Obsługiwane przez	Nietypowe zabezpieczenia

Przykłady zapytań

Wszystkie nietypowe dzienniki zagrożeń zabezpieczeń

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Wszystkie nietypowe dzienniki przypadków zabezpieczeń

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować się z aplikacją AbnormalSecurity (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

• Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
• Nieprawidłowy token interfejs API Zabezpieczenia: wymagany jest nietypowy token interfejs API Zabezpieczenia. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat nietypowych interfejs API Zabezpieczenia. Uwaga: wymagane jest nieprawidłowe konto zabezpieczeń

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API REST nietypowych zabezpieczeń w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

KROK 1. Kroki konfiguracji nietypowego interfejs API Zabezpieczenia

Postępuj zgodnie z tymi instrukcjami podanymi w artykule Nietypowe zabezpieczenia, aby skonfigurować integrację interfejsu API REST. Uwaga: wymagane jest nieprawidłowe konto zabezpieczeń

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika nietypowych danych zabezpieczeń należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także nietypowy token autoryzacji interfejs API Zabezpieczenia, łatwo dostępny.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda zapewnia automatyczne wdrażanie łącznika Nietypowe zabezpieczenia przy użyciu szablonu usługi ARM.

1. Kliknij przycisk Wdróż na platformie Azure poniżej.

   

2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

3. Wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel, klucz udostępniony usługi Microsoft Sentinel i nieprawidłowy klucz interfejsu API REST zabezpieczeń.

• Domyślny interwał czasu jest ustawiony na ściągnięcie ostatnich pięciu (5) minut danych. Jeśli należy zmodyfikować interwał czasu, zaleca się odpowiednio zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.

4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik nietypowych danych zabezpieczeń za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

5. Podaj następujące informacje po wyświetleniu monitów:

   a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

   b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

   c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

   d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. AbnormalSecurityXX).

   e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.

   f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcjonalnie) (dodaj inne ustawienia wymagane przez aplikację funkcji) Ustaw uri wartość na: <add uri value>

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Azure Key Vault.

• Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; W przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.