Onormalsäkerhet (med Azure Functions)-anslutningsprogram för Microsoft Sentinel

Dataanslutningsappen Onormal säkerhet ger möjlighet att mata in hot- och ärendeloggar i Microsoft Sentinel med hjälp av rest-API:et för onormal säkerhet.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut	beskrivning
Programinställningar	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (valfritt)(lägg till andra inställningar som krävs av funktionsappen)Ange uri värdet till: <add uri value>
Kod för Azure-funktionsapp	https://aka.ms/sentinel-abnormalsecurity-functionapp
Log Analytics-tabeller	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
Stöd för regler för datainsamling	Stöds för närvarande inte
Stöds av	Onormal säkerhet

Exempel på frågor

Alla loggar för onormalt säkerhetshot

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Alla loggar för onormala säkerhetsfall

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med AbnormalSecurity (med Hjälp av Azure Functions) kontrollerar du att du har:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
• Onormal API för säkerhet token: En onormal API för säkerhet token krävs. Mer information om onormala API för säkerhet finns i dokumentationen. Obs! Ett onormalt säkerhetskonto krävs

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till Rest-API:et för onormal säkerhet för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

STEG 1 – Konfigurationssteg för onormala API för säkerhet

Följ de här anvisningarna från Onormal säkerhet för att konfigurera REST API-integreringen. Obs! Ett onormalt säkerhetskonto krävs

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT! Innan du distribuerar dataanslutningsappen Onormal säkerhet måste du ha arbetsyte-ID och primärnyckel för arbetsyta (kan kopieras från följande), samt token för onormal API för säkerhet auktorisering, som är lättillgänglig.

Alternativ 1 – Arm-mall (Azure Resource Manager)

Den här metoden tillhandahåller en automatiserad distribution av anslutningsappen Onormal säkerhet med hjälp av en ARM-mall.

1. Klicka på knappen Distribuera till Azure nedan.

   

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange Microsoft Sentinel-arbetsyte-ID, Delad Microsoft Sentinel-nyckel och REST API-nyckel för onormal säkerhet.

• Standardtidsintervallet är inställt på att hämta de senaste fem (5) minuterna av data. Om tidsintervallet behöver ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta (i filen function.json, efter distributionen) för att förhindra överlappande datainmatning.

4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.
5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera dataanslutningsappen onormal säkerhet manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

Obs! Du måste förbereda VS-kod för Azure-funktionsutveckling.

1. Ladda ned Azure Function App-filen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj Azure-ikonen i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Functions. Om du inte redan är inloggad väljer du Azure-ikonen i aktivitetsfältet. I området Azure: Functions väljer du Logga in på Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i meddelanderutorna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj Prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. AbnormalSecurityXX).

   e. Välj en körning: Välj Python 3.8.

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

2. Konfigurera funktionsappen

1. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
2. På fliken Programinställningar väljer du + Ny programinställning.
3. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (valfritt) (lägg till andra inställningar som krävs av funktionsappen uri ) Ange värdet till: <add uri value>

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Azure Key Vault-referenser.

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

4. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.