Соединитель CyberArkAudit (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных аудита CyberArk предоставляет возможность получения журналов событий безопасности службы "Аудит CyberArk" и дополнительных событий в Microsoft Sentinel через REST API. Соединитель предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Параметры приложения | CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (необязательно) |
| Код приложения-функции Azure | https://aka.ms/sentinel-CyberArkAudit-functionapp |
| Таблицы Log Analytics | CyberArk_AuditEvents_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Поддержка CyberArk |
Примеры запросов
События аудита CyberArk — все действия.
CyberArkAudit
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с CyberArkAudit (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Аудит сведений и учетных данных REST API Подключение: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для вызова API.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранению данных в Хранилище BLOB-объектов Azure затратах. Дополнительные сведения см. на странице цен Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
Примечание.
Ключи авторизации API или маркеры безопасно хранятся в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей.
ШАГ 1. Действия по настройке интеграции SIEM аудита CyberArk
Следуйте инструкциям, чтобы получить сведения о подключении и учетные данные.
- Используйте имя пользователя и пароль для учетной записи аудита CyberArk.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных аудита CyberArk укажите имя рабочей области и расположение рабочей области (можно скопировать из следующего кода).
Имя рабочей области
Расположение рабочей области
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных аудита CyberArk с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ. В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите имя CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL и развертывание. 4. Пометить проверка box с меткой я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя данных аудита CyberArk вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание приложения-функции
ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения по соответствующим запросам:
a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
b. Выберите подписку: выберите используемую подписку.
c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, CyberArkXXXXXXXX).
д) Выберите среду выполнения: выберите Python 3.8.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите на портал Azure для конфигурации приложения-функции.
2. Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
На вкладке "Параметры приложения" выберите ** Новый параметр приложения**.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
- CyberArkAuditUsername
- CyberArkAuditPassword
- CyberArkAuditServerURL
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (необязательно)
Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.usПосле ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.