Vectra XDR-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Vectra XDR-anslutningsappen ger möjlighet att mata in Vectra-identifieringar, granskningar, entitetsbedömning, nedlåsning och hälsodata i Microsoft Sentinel via Vectra REST API. Mer information finns i API-dokumentationen https://support.vectra.ai/s/article/KB-VS-1666 .

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Kod för Azure-funktionsapp https://aka.ms/sentinel-VectraXDR-functionapp
Kusto-funktionsalias VectraDetections
Kusto-funktions-URL https://aka.ms/sentinel-VectraDetections-parser
Log Analytics-tabeller Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Vectra-support

Exempel på frågor

Vectra-identifieringshändelser – alla identifieringshändelser.

Detections_Data_CL

| sort by TimeGenerated desc

Vectra-granskningshändelser – alla granskningshändelser.

Audits_Data_CL

| sort by TimeGenerated desc

Vectra-entitetsbedömningshändelser – alla entitetsbedömningshändelser.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Vectra Lockdown-händelser – alla låsningshändelser.

Lockdown_Data_CL

| sort by TimeGenerated desc

Vectra-hälsohändelser – alla hälsohändelser.

Health_Data_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Vectra XDR (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • REST API-autentiseringsuppgifter/-behörigheter: Vectra-klient-ID och klienthemlighet krävs för insamling av hälso-, entitetsbedömningar, identifieringar, låsning och granskning. Läs dokumentationen om du vill veta mer om API:et på https://support.vectra.ai/s/article/KB-VS-1666.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till Vectra-API:et för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ de här stegen för Identifieringsparser, Granskningsparser, Entitetsbedömningsparser, Lockdown Parser och Hälsoparser för att skapa Kusto-funktionsalias, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown och VectraHealth.

STEG 1 – Konfigurationssteg för autentiseringsuppgifterna för Vectra API

Följ de här anvisningarna för att skapa ett Vectra-klient-ID och en klienthemlighet.

  1. Logga in på Vectra-portalen
  2. Navigera till Hantera –> API-klienter
  3. På sidan API-klienter väljer du Lägg till API-klient för att skapa en ny klient.
  4. Lägg till klientnamn, välj Roll och klicka på Generera autentiseringsuppgifter för att hämta dina klientautentiseringsuppgifter.
  5. Se till att registrera ditt klient-ID och din hemliga nyckel för förvaring. Du behöver dessa två informationsdelar för att hämta en åtkomsttoken från Vectra-API:et. En åtkomsttoken krävs för att göra begäranden till alla Vectra API-slutpunkter.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar Vectra-dataanslutningen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) tillgängliga.., samt autentiseringsuppgifterna för Vectra API-auktorisering

Alternativ 1 – Arm-mall (Azure Resource Manager)

Använd den här metoden för automatisk distribution av Vectra-anslutningsappen.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange informationen nedan:

    • Funktionsnamn
    • Arbetsplats-ID
    • Arbetsytenyckel
    • Vectra-bas-URL https://<vectra-portal-url>
    • Vectra-klient-ID – Hälsa
    • Vectra-klienthemlighetsnyckel – Hälsa
    • Vectra-klient-ID – Entitetsbedömning
    • Vectra-klienthemlighet – Entitetsbedömning
    • Vectra-klient-ID – Identifieringar
    • Vectra-klienthemlighet – Identifieringar
    • Vectra-klient-ID – Granskningar
    • Vectra-klienthemlighet – Granskningar
    • Vectra-klient-ID – Låsning
    • Vectra-klienthemlighet – Låsning
    • StartTime (i MM/DD/ÅÅÅÅ HH:MM:SS-format)
    • Namn på granskningstabell
    • Namn på identifieringstabell
    • Tabellnamn för entitetsbedömning
    • Namn på låsningstabell
    • Namn på hälsotabell
    • Loggnivå (standard: INFO)
    • Schema för nedlåsning
    • Hälsoschema
    • Schema för identifieringar
    • Granskningsschema
    • Entitetsbedömningsschema

  4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera Vectra-dataanslutningen manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

Obs! Du måste förbereda VS-kod för Azure-funktionsutveckling.

  1. Ladda ned Azure Function App-filen. Extrahera arkivet till din lokala utvecklingsdator.

  2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

  3. Välj mappen på den översta nivån från extraherade filer.

  4. Välj Azure-ikonen i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Functions. Om du inte redan är inloggad väljer du Azure-ikonen i aktivitetsfältet. I området Azure: Functions väljer du Logga in på Azure Om du redan är inloggad går du till nästa steg.

  5. Ange följande information i meddelanderutorna:

    a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

    b. Välj Prenumeration: Välj den prenumeration som ska användas.

    c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

    d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. VECTRAXXXXX).

    e. Välj en körning: Välj Python 3.8 eller senare.

    f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

  6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

  7. Gå till Azure-portalen för konfigurationen av funktionsappen.

2. Konfigurera funktionsappen

  1. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
  2. På fliken Programinställningar väljer du + Ny programinställning.
  3. Lägg till var och en av följande programinställningar individuellt med sina respektive värden (skiftlägeskänsliga):
    • Arbetsplats-ID
    • Arbetsytenyckel
    • Vectra-bas-URL https://<vectra-portal-url>
    • Vectra-klient-ID – Hälsa
    • Vectra-klienthemlighetsnyckel – Hälsa
    • Vectra-klient-ID – Entitetsbedömning
    • Vectra-klienthemlighet – Entitetsbedömning
    • Vectra-klient-ID – Identifieringar
    • Vectra-klienthemlighet – Identifieringar
    • Vectra-klient-ID – Granskningar
    • Vectra-klienthemlighet – Granskningar
    • Vectra-klient-ID – Låsning
    • Vectra-klienthemlighet – Låsning
    • StartTime (i MM/DD/ÅÅÅÅ HH:MM:SS-format)
    • Namn på granskningstabell
    • Namn på identifieringstabell
    • Tabellnamn för entitetsbedömning
    • Namn på låsningstabell
    • Namn på hälsotabell
    • Loggnivå (standard: INFO)
    • Schema för nedlåsning
    • Hälsoschema
    • Schema för identifieringar
    • Granskningsschema
    • Entitetsbedömningsschema
    • logAnalyticsUri (valfritt)
  • Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.
  1. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.