Rubrik Security Cloud Data Connector (med hjälp av Azure Functions)-anslutningsappen för Microsoft Sentinel

  • Artikel

Dataanslutningsappen Rubrik Security Cloud gör det möjligt för säkerhetsteam att integrera insikter från Rubriks dataobservabilitetstjänster i Microsoft Sentinel. Insikterna omfattar identifiering av avvikande filsystemsbeteende som är associerat med utpressningstrojaner och massborttagning, utvärdera explosionsradien för en utpressningstrojanattack och känsliga dataoperatörer för att prioritera och snabbare undersöka potentiella incidenter.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Kod för Azure-funktionsapp https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics-tabeller Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Rubrik

Exempel på frågor

RubrikAvvikelsehändelser – Avvikelsehändelser för alla allvarlighetstyper.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik Ransomware Analysis Events – Utpressningstrojananalyshändelser för alla allvarlighetstyper.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik ThreatHunt Events – Hotjakthändelser för alla allvarlighetstyper.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Rubrik Security Cloud Data Connector (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till Rubrik-webhooken som skickar loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT! Innan du distribuerar Rubrik Microsoft Sentinel-dataanslutningen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) tillgängliga..

Alternativ 1 – Arm-mall (Azure Resource Manager)

Använd den här metoden för automatisk distribution av Rubrik-anslutningsappen.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange följande information: Funktionsnamn Arbetsyte-ID-arbetsytenyckel Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

  4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera Rubrik Microsoft Sentinel-dataanslutningen manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

Obs! Du måste förbereda VS-kod för Azure-funktionsutveckling.

  1. Ladda ned Azure Function App-filen. Extrahera arkivet till din lokala utvecklingsdator.

  2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

  3. Välj mappen på den översta nivån från extraherade filer.

  4. Välj Azure-ikonen i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Functions. Om du inte redan är inloggad väljer du Azure-ikonen i aktivitetsfältet. I området Azure: Functions väljer du Logga in på Azure Om du redan är inloggad går du till nästa steg.

  5. Ange följande information i meddelanderutorna:

    a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

    b. Välj Prenumeration: Välj den prenumeration som ska användas.

    c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

    d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. RubrikXXXXX).

    e. Välj en körning: Välj Python 3.8 eller senare.

    f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

  6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

  7. Gå till Azure-portalen för konfigurationen av funktionsappen.

2. Konfigurera funktionsappen

  1. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
  2. På fliken Programinställningar väljer du + Ny programinställning.
  3. Lägg till var och en av följande programinställningar individuellt med respektive värden (skiftlägeskänsligt): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (valfritt)
  • Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.
  1. När alla programinställningar har angetts klickar du på Spara.

Steg efter distribution

  1. Hämta funktionsappens slutpunkt
  1. Gå till översiktssidan för Azure-funktionen och klicka på fliken Funktioner .
  2. Klicka på funktionen RubrikHttpStarter.
  3. Gå till "GetFunctionurl" och kopiera funktions-URL:en.
  1. Lägg till en webhook i RubrikSecurityCloud för att skicka data till Microsoft Sentinel.

Följ instruktionerna i rubrikanvändarhandboken för att lägga till en webhook för att börja ta emot händelseinformation som rör avvikelser i utpressningstrojaner

  1. Välj Generic som webhook-provider (detta använder CEF-formaterad händelseinformation)
  2. Ange URL-delen från kopierad Funktions-URL som webhook-URL-slutpunkt och ersätt {functionname} med "RubrikAnomalyOrchestrator" för Rubrik Microsoft Sentinel-lösningen
  3. Välj alternativet Avancerad eller anpassad autentisering
  4. Ange x-functions-key som HTTP-huvud
  5. Ange funktionsåtkomstnyckeln (värdet för kodparametern från kopierad funktions-URL) som HTTP-värde(Obs! Om du ändrar den här funktionsåtkomstnyckeln i Microsoft Sentinel i framtiden måste du uppdatera den här webhookskonfigurationen)
  6. Välj EventType som avvikelse
  7. Välj följande allvarlighetsnivåer: Kritisk, Varning, Information
  8. Upprepa samma steg för att lägga till webhooks för undersökningsanalys av utpressningstrojaner och hotjakt.

Obs! När du lägger till webhooks för undersökningsanalys av utpressningstrojaner och hotjakt ersätter du {functionname} med "RubrikRansomwareOrchestrator" respektive "RubrikThreatHuntOrchestrator" i kopierad funktions-URL.

Nu är vi klara med rubrik Webhook-konfigurationen. När webhookens händelser har utlösts bör du kunna se avvikelseanalys, undersökningsanalys av utpressningstrojaner, hotjakthändelser från Rubrik till respektive LogAnalytics-arbetsytetabell med namnet "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.