Соединитель защиты API для Microsoft Sentinel
Подключение защита API 42Crunch в Azure Log Analytics через интерфейс REST API
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | apifirewall_log_1_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Защита API 42Crunch |
Примеры запросов
Запросы API, которые были ограничены скоростью
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Запросы API, создающие ошибку сервера
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Запросы API завершаются ошибкой проверки JWT
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Инструкции по установке поставщика
Шаг 1. Чтение подробной документации
Процесс установки подробно описан в интеграции с репозиторием GitHub Microsoft Sentinel. Пользователь должен ознакомиться с этим репозиторием для дальнейшего понимания установки и отладки интеграции.
Шаг 2. Получение учетных данных доступа к рабочей области
Первым шагом установки является получение идентификатора рабочей области и первичного ключа из платформы Sentinel. Скопируйте приведенные ниже значения и сохраните их для настройки интеграции пересылки журналов API.
Шаг 3. Установка защиты 42Crunch и средства пересылки журналов
Следующим шагом является установка защиты 42Crunch и средства пересылки журналов для защиты API. Оба компонента доступны в качестве контейнеров из репозитория 42Crunch. Точную установку будет зависеть от вашей среды, ознакомьтесь с документацией по защите 42Crunch, чтобы получить полные сведения. Ниже описаны два распространенных сценария установки:
Установка с помощью Docker Compose
Решение можно установить с помощью файла создания Docker.
Установка с помощью диаграмм Helm
Решение можно установить с помощью диаграммы Helm.
Шаг 4. Проверка приема данных
Чтобы проверить прием данных, пользователь должен развернуть пример приложения httpbin вместе с защитой 42Crunch и обработчиком пересылки журналов, описанным здесь.
4.1. Установка примера
Пример приложения можно установить локально с помощью файла создания Docker, который установит сервер API httpbin, защиту API 42Crunch и средство пересылки журналов Sentinel. Задайте переменные среды по мере необходимости с помощью значений, скопированных на шаге 2.
4.2 Запуск примера
Verfify защита API подключена к платформе 42Crunch, а затем выполняет API локально на локальном узле в порту 8080 с помощью Postman, curl или аналогичного. Вы увидите смесь передачи и неудачных вызовов API.
4.3 Проверка приема данных в Log Analytics
Через 20 минут перейдите к рабочей области Log Analytics в установке Sentinel и найдите раздел "Пользовательские журналы" , чтобы убедиться, что существует таблица apifirewall_log_1_CL . Используйте примеры запросов для проверки данных.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.