Microsoft Sentinel için Cisco Güvenli Uç Nokta (AMP) (Azure İşlevleri kullanarak) bağlayıcısı
Cisco Güvenli Uç Nokta (eski adıYLA AMP for Endpoints) veri bağlayıcısı, Cisco Güvenli Uç Nokta denetim günlüklerini ve olaylarını Microsoft Sentinel'e alma özelliği sağlar.
Bağlayıcı öznitelikleri
Bağlayıcı özniteliği | Açıklama |
---|---|
Azure işlev uygulaması kodu | https://aka.ms/sentinel-ciscosecureendpoint-functionapp |
Log Analytics tabloları | CiscoSecureEndpoint_CL |
Veri toplama kuralları desteği | Şu anda desteklenmiyor |
Destekleyen | Microsoft Corporation |
Sorgu örnekleri
Tüm Cisco Güvenli Uç Nokta günlükleri
CiscoSecureEndpoint_CL
| sort by TimeGenerated desc
Önkoşullar
Cisco Güvenli Uç Noktası (AMP) ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- Cisco Güvenli Uç Nokta API'si kimlik bilgileri: Cisco Güvenli Uç Nokta İstemci Kimliği ve API Anahtarı gereklidir. Cisco Güvenli Uç Nokta API'si hakkında daha fazla bilgi edinmek için belgelere bakın. API etki alanı da sağlanmalıdır.
Satıcı yükleme yönergeleri
Not
Bu bağlayıcı, günlükleri Microsoft Sentinel'e çekmek üzere Cisco Güvenli Uç Nokta API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.
(İsteğe Bağlı Adım) Azure Key Vault'da çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerleri depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.
Not
Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen CiscoSecureEndpoint gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.
ADIM 1 - Cisco Güvenli Uç Nokta API'si kimlik bilgilerini alma
- İstemci Kimliği ve API Anahtarı oluşturmak için belgelerdeki yönergeleri izleyin.
ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin
ÖNEMLİ: Veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Azure Blob Depolama bağlantı dizesine ve kapsayıcı adına sahip olun.
Seçenek 1 - Azure Resource Manager (ARM) Şablonu
Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.
Cisco Güvenli Uç Nokta Api'si Konağı, Cisco Güvenli Uç Nokta İstemci Kimliği, Cisco Güvenli Uç Nokta Api Anahtarı, Microsoft Sentinel Çalışma Alanı Kimliği, Microsoft Sentinel Paylaşılan Anahtarı girin
Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.
Dağıtmak için Satın Al'a tıklayın.
Seçenek 2 - Azure İşlevleri El ile Dağıtımı
Veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.
1. İşlev Uygulaması Dağıtma
NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.
Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
VS Code'u başlatın. Ana menüde Dosya'yı ve ardından Klasör Aç'ı seçin.
Ayıklanan dosyalardan en üst düzey klasörü seçin.
Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini ve ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma geçin.
İstemlerde aşağıdaki bilgileri sağlayın:
a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.
b. Abonelik'i seçin: Kullanılacak aboneliği seçin.
c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)
d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır.
e. Çalışma zamanı seçin: Python 3.8'i seçin.
f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.
Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.
İşlev Uygulaması yapılandırması için Azure Portal'a gidin.
2. İşlev Uygulamasını Yapılandırma
- İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
- Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
- Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: CISCO_SE_API_API_HOST CISCO_SE_API_CLIENT_ID CISCO_SE_API_KEY WORKSPACE_ID SHARED_KEY logAnalyticsUri (İsteğe bağlı)
- Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin:
https://WORKSPACE_ID.ods.opinsights.azure.us
.
- Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.