Tenable.io Łącznik zarządzania lukami w zabezpieczeniach (przy użyciu funkcji platformy Azure) dla usługi Microsoft Sentinel
Łącznik danych Tenable.io zapewnia możliwość pozyskiwania danych zasobów i luk w zabezpieczeniach do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST z platformy Tenable.io (zarządzanej w chmurze). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API. Łącznik zapewnia możliwość pobierania danych, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, uzyskiwanie wglądu w zasoby obliczeniowe, diagnozowanie problemów z konfiguracją i nie tylko
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Ustawienia aplikacji | TenableAccessKey TenableSecretKey Identyfikator obszaru roboczego Klucz obszaru roboczego logAnalyticsUri (opcjonalnie) |
| Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-TenableIO-functionapp |
| Tabele usługi Log Analytics | Tenable_IO_Assets_CL Tenable_IO_Vuln_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Utrzymania |
Przykłady zapytań
Raport dotyczący maszyny wirtualnej z możliwością obsługi dzierżawy — wszystkie zasoby
Tenable_IO_Assets_CL
| sort by TimeGenerated desc
Raport dotyczący maszyn wirtualnych z możliwością obsługi z możliwością obsługi z możliwością użycia — wszystkie maszyny wirtualne
Tenable_IO_Vuln_CL
| sort by TimeGenerated desc
Wybierz unikatowe luki w zabezpieczeniach według określonego zasobu.
Tenable_IO_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Wybierz wszystkie zasoby platformy Azure.
Tenable_IO_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Wymagania wstępne
Aby zintegrować się z usługą Tenable.io Vulnerability Management (przy użyciu funkcji platformy Azure), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: Do uzyskania dostępu do interfejsu API REST wymagany jest zarówno klucz TenableAccessKey , jak i tenableSecretKey . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Durable Functions do nawiązywania połączenia z interfejsem API Tenable.io w celu ściągnięcia zasobów i luk w zabezpieczeniach w regularnym odstępie czasu w usłudze Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora Tenable.io pod kątem luk w zabezpieczeniach i analizatora Tenable.io dla zasobów w oparciu o funkcję Kusto do działania zgodnie z oczekiwaniami, która jest wdrożona z rozwiązaniem Microsoft Sentinel.
KROK 1. Kroki konfiguracji Tenable.io
Postępuj zgodnie z instrukcjami , aby uzyskać wymagane poświadczenia interfejsu API.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną aplikację funkcji platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych obszaru roboczego należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika danych raportu zarządzania lukami w zabezpieczeniach Tenable.io przy użyciu szablonu usługi ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź wartość TenableAccessKey i TenableSecretKey i wdróż. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych raportu zarządzania lukami w zabezpieczeniach Tenable.io za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie aplikacji funkcji
UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.
Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.
Wybierz folder najwyższego poziomu z wyodrębnionych plików.
Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.
Podaj następujące informacje po wyświetleniu monitów:
a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.
c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)
d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. TenableIOXXXXX).
e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.
f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.
Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
2. Konfigurowanie aplikacji funkcji
- W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
- Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
- Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter): TenableAccessKey TenableSecretKey WorkspaceID WorkspaceID LogAnalyticsUri (opcjonalnie)
- Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:
https://<WorkspaceID>.ods.opinsights.azure.us. 3. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.