Łącznik Inspekcja usługi Slack (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych inspekcji usługi Slack zapewnia możliwość pozyskiwania zdarzeń rekordów inspekcji usługi Slack do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
atrybut Połączenie or | opis |
---|---|
Alias funkcji Kusto | SlackAudit |
Adres URL funkcji Kusto | https://aka.ms/sentinel-SlackAuditAPI-parser |
Tabele usługi Log Analytics | SlackAudit_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Zdarzenia inspekcji usługi Slack — wszystkie działania.
SlackAudit
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować z usługą Slack Audit (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: interfejs SLAckAPIBearerToken jest wymagany dla interfejsu API REST. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API REST usługi Slack w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto, SlackAudit
KROK 1. Kroki konfiguracji interfejsu API usługi Slack
Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych inspekcji usługi Slack należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.