Microsoft Sentinel için Facebook'tan çalışma alanı (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Workplace veri bağlayıcısı, Yaygın Çalışma Alanı olaylarını Web Kancaları aracılığıyla Microsoft Sentinel'e alma özelliği sağlar. Web kancaları, özel tümleştirme uygulamalarının Çalışma Alanı'ndaki olaylara abone olmasını ve güncelleştirmeleri gerçek zamanlı olarak almasını sağlar. Çalışma Alanı'nda bir değişiklik gerçekleştiğinde, olay bilgilerini içeren bir HTTPS POST isteği bir geri çağırma veri bağlayıcısı URL'sine gönderilir. Daha fazla bilgi için Web kancaları belgelerine bakın . Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan olayları alma olanağı sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Log Analytics tabloları Workplace_Facebook_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

Çalışma Alanı Olayları - Tüm Etkinlikler.

Workplace_Facebook_CL

| sort by TimeGenerated desc

Ön koşullar

Facebook'tan Workplace ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Web Kancaları Kimlik Bilgileri/izinleri: Çalışma Web Kancaları için WorkplaceAppSecret, WorkplaceVerifyToken, Geri Arama URL'si gereklidir. Web kancalarını yapılandırma, izinleri yapılandırma hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Dekont

Bu veri bağlayıcısı, günlüklerini Microsoft Sentinel'e çekmek üzere günlükleri olan POST isteklerini beklemek için HTTP Tetikleyicisi temelinde Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlevleri Uygulaması ile kullanmak için bu yönergeleri izleyin.

Dekont

Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevinin beklendiği gibi çalışması için ayrıştırıcıya bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın ve WorkplaceFacebook diğer adını arayın, işlev kodunu yükleyin veya sorgunun ikinci satırına tıklayın, Workplace Facebook cihazlarınızın ana bilgisayar adlarını ve günlük akışının diğer benzersiz tanımlayıcılarını girin. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

ADIM 1 - Çalışma Alanı için yapılandırma adımları

Web Kancalarını yapılandırmak için yönergeleri izleyin.

  1. çalışma alanında Yönetici kullanıcı kimlik bilgileriyle oturum açın.
  2. Yönetici panelinde Tümleştirmeler'e tıklayın.
  3. Tümleştirmeler görünümünde Özel tümleştirme oluştur'a tıklayın
  4. Adı ve açıklamayı girin ve Oluştur'a tıklayın.
  5. Tümleştirme ayrıntıları panelinde Uygulama gizli dizisini ve kopyalamayı gösterin.
  6. Tümleştirme izinleri bölmesinde tüm okuma izinlerini ayarlayın. Ayrıntılar için izin sayfasına bakın.
  7. Şimdi Azure İşlevini Dağıtma adımlarını (Seçenek 1 veya 2'de listelenmiştir) izlemek için 2. ADIM'a geçin.
  8. İstenen parametreleri girin ve ayrıca tercih edilen belirteci girin. Bu Belirteci kopyalayın / Yaklaşan adım için not edin.
  9. Azure İşlevleri dağıtımı başarıyla tamamlandıktan sonra İşlev Uygulaması sayfasını açın, uygulamanızı seçin, İşlevler'e gidin, İşlev URL'sini Al'a tıklayın ve bunu kopyalayın / Yaklaşan adım için not edin.
  10. Facebook'tan Workplace'e geri dönün. Her Sekmedeki Web kancalarını yapılandır panelinde Geri Arama URL'sini yukarıdaki 9. noktada kopyaladığınız değerle ayarlayın ve Belirteci, Azure İşlevleri dağıtımının 2. adımı sırasında elde edilen 8. noktada kopyaladığınız değerle doğrulayın.
  11. Kaydet 'i tıklatın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevleri dağıtmak için aşağıdaki iki dağıtım seçeneğinden Bİrİ'ni seçin

ÖNEMLİ: Çalışma Alanı veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.