Conector de Proteção de API para o Microsoft Sentinel
Conecta a proteção da API 42Crunch ao Azure Log Analytics através da interface da API REST
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | apifirewall_log_1_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Proteção de API da 42Crunch |
Exemplos de consulta
Solicitações de API que eram limitadas por taxa
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Solicitações de API gerando um erro no servidor
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Solicitações de API que falham na validação do JWT
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Instruções de instalação do fornecedor
Etapa 1 : ler a documentação detalhada
O processo de instalação está documentado detalhadamente no repositório do GitHub Integração com o Microsoft Sentinel. O usuário precisa consultar este repositório para entender melhor a instalação e a depuração da integração.
Etapa 2: recuperar as credenciais de acesso ao espaço de trabalho
A primeira etapa da instalação é recuperar a ID do Espaço de Trabalho e a Chave Primária da plataforma Sentinel. Copie os valores mostrados abaixo e salve-os na configuração da integração do encaminhador de logs da API.
Etapa 3: instalar a proteção 42Crunch e o encaminhador de logs
A próxima etapa é instalar a proteção 42Crunch e o encaminhador de logs para proteger sua API. Ambos os componentes estão disponíveis como contêineres do repositório da 42Crunch. A instalação exata dependerá do seu ambiente, consulte a documentação da proteção 42Crunch para obter os detalhes completos. Dois cenários comuns de instalação estão descritos abaixo:
Instalação através do Docker Compose
A solução pode ser instalada utilizando um arquivo de composição do Docker .
Instalação através de gráficos do Helm
A solução pode ser instalada utilizando um gráfico do Helm.
Etapa 4: testar a ingestão de dados
Para testar a ingestão de dados, o usuário deve implantar o aplicativo de exemplo httpbin juntamente com a proteção 42Crunch e o encaminhador de logs descritos em detalhes aqui.
4.1 Instalar a amostra
O aplicativo de exemplo pode ser instalado localmente usando um arquivo de composição do Docker que instalará o servidor da API httpbin, a proteção da API 42Crunch e o encaminhador de logs do Sentinel. Defina as variáveis do ambiente conforme necessário usando os valores copiados da etapa 2.
4.2 Execução da amostra
Verifique se a proteção da API está conectada à plataforma 42Crunch e, em seguida, exercite a API localmente em localhost na porta 8080 usando Postman, Curl ou similar. Você deve ver uma mistura de chamadas de API passadas e com falha.
4.3 Verificar a ingestão de dados no Log Analytics
Após aproximadamente 20 minutos, acesse o workspace do Log Analytics na sua instalação do Sentinel e encontre a seção Logs personalizados para verificar se existe uma tabela apifirewall_log_1_CL. Utilize as consultas de amostra para examinar os dados.
Próximas etapas
Para obter mais informações, consulte a solução relacionada no Azure Marketplace.