Conector Workplace do Facebook (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados do Workplace fornece a capacidade de comum ingestão dos eventos do Workplace no Azure Sentinel por meio de Webhooks. Webhooks permitem que aplicativos de integração personalizados assinem eventos no local de trabalho e recebam atualizações em tempo real. Quando ocorre uma alteração no Workplace, uma solicitação de HTTPS POST é enviada com informações de evento para uma URL do conector de dados de chamada. Consulte esta documentação Webhooks para mais informações. O conector fornece a capacidade de obter eventos que ajudam a examinar riscos de segurança em potencial, analisar o uso colaboração pela sua equipe, diagnosticar problemas de configuração e muito mais.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Workplace_Facebook_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Eventos do Workplace – Todas as atividades.
Workplace_Facebook_CL
| sort by TimeGenerated desc
Pré-requisitos
Para se integrar ao Workplace do Facebook (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões de Webhooks: WorkplaceAppSecret, WorkplaceVerifyToken, URL de retorno de chamada são necessárias para trabalhar Webhooks. Consulte a documentação para saber mais sobre como configurar o Webhooks, configurar permissões.
Instruções de instalação do fornecedor
Observação
Esse conector de dados usa o Azure Functions com base no Gatilho HTTP para aguardar solicitações POST com logs para efetuar pull de seus logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Functions.
Observação
Esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar conforme o esperado, o que é implantado como parte da solução. Para exibir o código da função no Log Analytics, abra a folha Logs do Log Analytics/Microsoft Sentinel, clique em Funções e pesquise pelo alias WorkplaceFacebook e carregue o código da função ou clique aqui, na segunda linha da consulta, insira os nomes de host de seus dispositivos do Workplace Facebook e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
ETAPA 1 – Etapas de configuração do Workplace
Siga as instruções para configurar Webhooks.
- Faça logon no Workplace com credenciais de Usuário administrador.
- No painel do administrador, selecione Integrações.
- Na exibição Todas as integrações, selecione Criar integração personalizada
- Digite o nome e a descrição e clique em Criar.
- No painel Detalhes da integração, mostre o Aplicativo secreto e copie-o.
- No painel Permissões de integração, defina todas as permissões de leitura. Confira a página de permissão para obter detalhes.
- Agora proceda com a ETAPA 2 para seguir as etapas (listadas na Opção 1 ou 2) para Implantar a Função do Azure.
- Insira os parâmetros solicitados e insira também um Token de escolha. Copie este Token/anote-o para a próxima etapa.
- Depois de implantar com êxito o Azure Functions, abra a página Aplicativo de Funções, selecione seu aplicativo, vá para Funções, clique em Obter URL da Função e copie-a/ Observe-a para a próxima etapa.
- Volte ao Workplace from Facebook. No painel Configurar webhooks, em cada aba, defina a URL de retorno como o mesmo valor copiado no ponto 9 acima e Verificar token como o mesmo valor copiado no ponto 8 acima, que foi obtido durante a ETAPA 2 da implantação do Azure Functions.
- Clique em Save (Salvar).
ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e a função associada do Azure Functions
IMPORTANTE: antes de implantar o conector de dados do Workspace, tenha a ID e a chave primária do espaço de trabalho (pode ser copiada a partir do seguinte).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.