Łącznik Vectra XDR (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Vectra XDR umożliwia pozyskiwanie wykrywania Vectra, inspekcji, oceniania jednostek, blokady i kondycji danych do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST Vectra. Aby uzyskać więcej informacji, https://support.vectra.ai/s/article/KB-VS-1666 zapoznaj się z dokumentacją interfejsu API.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Kod aplikacji funkcji platformy Azure https://aka.ms/sentinel-VectraXDR-functionapp
Alias funkcji Kusto VectraDetections
Adres URL funkcji Kusto https://aka.ms/sentinel-VectraDetections-parser
Tabele usługi Log Analytics Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Obsługa Vectra

Przykłady zapytań

Zdarzenia wykrywania Vectra — wszystkie zdarzenia wykrywania.

Detections_Data_CL

| sort by TimeGenerated desc

Vectra przeprowadza inspekcję zdarzeń — wszystkie zdarzenia inspekcji.

Audits_Data_CL

| sort by TimeGenerated desc

Zdarzenia oceniania jednostek Vectra — wszystkie zdarzenia oceniania jednostek.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Zdarzenia blokady Vectra — wszystkie zdarzenia blokady.

Lockdown_Data_CL

| sort by TimeGenerated desc

Zdarzenia kondycji Vectra — wszystkie zdarzenia kondycji.

Health_Data_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z rozwiązaniem Vectra XDR (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: Identyfikator klienta Vectra i klucz tajny klienta są wymagane w przypadku kondycji, oceniania jednostek, wykrywania, blokowania i zbierania danych inspekcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w systemie https://support.vectra.ai/s/article/KB-VS-1666.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązania połączenia z interfejsem API Vectra w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Wykonaj następujące kroki dla analizatora wykrywania, analizatora inspekcji, analizatora oceniania jednostek, analizatora blokady i analizatora kondycji, aby utworzyć alias funkcji Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown i VectraHealth.

KROK 1. Kroki konfiguracji poświadczeń interfejsu API Vectra

Postępuj zgodnie z tymi instrukcjami, aby utworzyć identyfikator klienta Vectra i klucz tajny klienta.

  1. Zaloguj się do portalu Vectra
  2. Przejdź do obszaru Zarządzanie —> klienci interfejsu API
  3. Na stronie Klienci interfejsu API wybierz pozycję "Dodaj klienta interfejsu API", aby utworzyć nowego klienta.
  4. Dodaj nazwę klienta, wybierz pozycję Rola i kliknij pozycję Generuj poświadczenia, aby uzyskać poświadczenia klienta.
  5. Pamiętaj, aby zarejestrować identyfikator klienta i klucz tajny na potrzeby bezpiecznego przechowywania. Te dwie informacje będą potrzebne do uzyskania tokenu dostępu z interfejsu API Vectra. Token dostępu jest wymagany do wysłania żądań do wszystkich punktów końcowych interfejsu API Vectra.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych Vectra należy ponownie udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika Vectra.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje:

    • Nazwa funkcji
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • Podstawowy adres URL Vectra https://<vectra-portal-url>
    • Identyfikator klienta Vectra — kondycja
    • Klucz tajny klienta Vectra — kondycja
    • Identyfikator klienta Vectra — ocenianie jednostek
    • Klucz tajny klienta Vectra — ocenianie jednostek
    • Identyfikator klienta Vectra — wykrycia
    • Wpis tajny klienta Vectra — wykrycia
    • Identyfikator klienta Vectra — inspekcje
    • Wpis tajny klienta Vectra — inspekcje
    • Identyfikator klienta Vectra — blokada
    • Klucz tajny klienta Vectra — blokada
    • StartTime (w MM/DD/RRRR HH:MM:SS Format)
    • Inspekcja nazwy tabeli
    • Nazwa tabeli wykrywania
    • Nazwa tabeli oceniania jednostek
    • Nazwa tabeli blokady
    • Nazwa tabeli kondycji
    • Poziom dziennika (wartość domyślna: INFO)
    • Harmonogram blokady
    • Harmonogram kondycji
    • Harmonogram wykrywania
    • Harmonogram inspekcji
    • Harmonogram oceniania jednostek

  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Vectra za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

  5. Podaj następujące informacje po wyświetleniu monitów:

    a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. VECTRAXXXXX).

    e. Wybierz środowisko uruchomieniowe: wybierz język Python w wersji 3.8 lub nowszej.

    f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj poszczególne z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter):
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • Podstawowy adres URL Vectra https://<vectra-portal-url>
    • Identyfikator klienta Vectra — kondycja
    • Klucz tajny klienta Vectra — kondycja
    • Identyfikator klienta Vectra — ocenianie jednostek
    • Klucz tajny klienta Vectra — ocenianie jednostek
    • Identyfikator klienta Vectra — wykrycia
    • Wpis tajny klienta Vectra — wykrycia
    • Identyfikator klienta Vectra — inspekcje
    • Wpis tajny klienta Vectra — inspekcje
    • Identyfikator klienta Vectra — blokada
    • Klucz tajny klienta Vectra — blokada
    • StartTime (w MM/DD/RRRR HH:MM:SS Format)
    • Inspekcja nazwy tabeli
    • Nazwa tabeli wykrywania
    • Nazwa tabeli oceniania jednostek
    • Nazwa tabeli blokady
    • Nazwa tabeli kondycji
    • Poziom dziennika (wartość domyślna: INFO)
    • Harmonogram blokady
    • Harmonogram kondycji
    • Harmonogram wykrywania
    • Harmonogram inspekcji
    • Harmonogram oceniania jednostek
    • logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.