Microsoft Sentinel için Anormal Güvenlik (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Anormal Güvenlik veri bağlayıcısı, Anormal Güvenlik Rest API'sini kullanarak tehdit ve olay günlüklerini Microsoft Sentinel'e alma özelliği sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Uygulama ayarları SENTINEL_WORKSPACE_ID
SENTINEL_SHARED_KEY
ABNORMAL_SECURITY_REST_API_TOKEN
logAnalyticsUri (isteğe bağlı)(İşlev Uygulaması için gereken diğer ayarları ekleyin)Değeri şu uri şekilde ayarlayın: <add uri value>
Azure işlev uygulaması kodu https://aka.ms/sentinel-abnormalsecurity-functionapp
Log Analytics tabloları ABNORMAL_THREAT_MESSAGES_CL
ABNORMAL_CASES_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Anormal Güvenlik

Sorgu örnekleri

Tüm Anormal Güvenlik Tehdidi günlükleri

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Tüm Anormal Güvenlik Olayı günlükleri

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Ön koşullar

AbnormalSecurity ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Anormal Güvenlik API'si Belirteci: Anormal bir Güvenlik API'si belirteci gereklidir. Anormal Güvenlik API'si hakkında daha fazla bilgi edinmek için belgelere bakın. Not: Anormal Bir Güvenlik hesabı gereklidir

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere Anormal Güvenlik REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

ADIM 1 - Anormal Güvenlik API'sinin yapılandırma adımları

REST API tümleştirmesini yapılandırmak için Anormal Güvenlik tarafından sağlanan bu yönergeleri izleyin. Not: Anormal Bir Güvenlik hesabı gereklidir

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Anormal Güvenlik veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarını (aşağıdakilerden kopyalanabilir) ve Anormal Güvenlik API'si Yetkilendirme Belirteci'ni hazır olarak kullanabilirsiniz.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Bu yöntem, ARM Şablonu kullanarak Anormal Güvenlik bağlayıcısının otomatik dağıtımını sağlar.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Microsoft Sentinel Çalışma Alanı Kimliği, Microsoft Sentinel Paylaşılan Anahtarı ve Anormal Güvenlik REST API Anahtarı girin.

  • Varsayılan Zaman Aralığı , verilerin son beş (5) dakikasını çekecek şekilde ayarlanır. Zaman aralığının değiştirilmesi gerekiyorsa, çakışan veri alımını önlemek için İşlev Uygulaması Zamanlayıcı Tetikleyicisi'nin uygun şekilde değiştirilmesi önerilir (function.json dosyasında dağıtım sonrası).
  1. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
  2. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Anormal Güvenlik veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. AnormalGüvenlikXX).

    e. Çalışma zamanı seçin: Python 3.8'i seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (isteğe bağlı) (İşlev Uygulaması için gereken diğer ayarları ekleyin) Değeri şu şekilde ayarlayın uri : <add uri value>

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Azure Key Vault başvuru belgelerine bakın.

  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri aşağıdaki biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
  1. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.