你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Sentinel 的 AbnormalSecurity（使用 Azure Functions）连接器

Abnormal Security 数据连接器提供使用 Abnormal Security Rest API 将威胁和案例日志引入 Microsoft Sentinel 的功能。

这是自动生成的内容。 有关更改，请联系解决方案提供商。

连接器属性

连接器属性	说明
应用程序设置	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri（可选）（添加函数应用所需的任何其他设置）将 uri 值设置为：<add uri value>
Azure 函数应用代码	https://aka.ms/sentinel-abnormalsecurity-functionapp
Log Analytics 表	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
数据收集规则支持	目前不支持
支持的服务	Abnormal Security

查询示例

所有 Abnormal Security 威胁日志

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

所有 Abnormal Security 案例日志

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

先决条件

若要与 AbnormalSecurity（使用 Azure Functions）集成，请确保拥有：

• Microsoft.Web/sites 权限：必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
• Abnormal Security API 令牌：需要 Abnormal Security API 令牌。 参阅文档以详细了解 Abnormal Security API。 注意：需要 Abnormal Security 帐户

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Abnormal Security 的 REST API，以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息，请参阅 Azure Functions 定价页。

步骤 1 - Abnormal Security API 的配置步骤

按照 Abnormal Security 提供的这些说明配置 REST API 集成。 注意：需要 Abnormal Security 帐户

步骤 2：从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明：在部署 Abnormal Security 数据连接器之前，请准备好工作区 ID 和工作区主密钥（可从下面复制）以及 Abnormal Security API 授权令牌。

选项 1 - Azure 资源管理器 (ARM) 模板

此方法使用 ARM 模板自动部署 Abnormal Security 连接器。

1. 单击下面的“部署到 Azure” 按钮。

   

2. 选择首选的“订阅”、“资源组”和“位置”。

3. 输入“Microsoft Sentinel 工作区 ID”、“Microsoft Sentinel 共享密钥”和“Abnormal Security REST API 密钥”。

• 默认“时间间隔”设置为拉取过去 5 分钟的数据。 如果需要修改时间间隔，建议相应地更改函数应用计时器触发器（部署后在 function.json 文件中），以防数据引入重叠。

4. 选中“我同意上述条款和条件”复选框。
5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明，使用 Azure Functions 手动部署 Abnormal Security 数据连接器（通过 Visual Studio Code 进行部署）。

1. 部署函数应用

注意：需要为 Azure 函数开发准备 VS 代码。

1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

2. 启动 VS Code。 在主菜单中选择“文件”，然后选择“打开文件夹”。

3. 从提取的文件中选择顶级文件夹。

4. 在活动栏中选择 Azure 图标，然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录，请在活动栏中选择 Azure 图标，然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录，请转到下一步。

5. 根据提示提供以下信息：

   a. 选择文件夹：从工作区中选择一个文件夹，或浏览到包含函数应用的文件夹。

   b. 选择订阅：选择要使用的订阅。

   c. 选择“在 Azure 中创建新的函数应用”（不要选择“高级”选项）

   d. 为函数应用输入全局唯一名称：键入在 URL 路径中有效的名称。 将对你键入的名称进行验证，以确保其在 Azure Functions 中是唯一的。 （例如 AbnormalSecurityXX）。

   e. 选择运行时：选择 Python 3.8。

   f. 选择新资源的位置。 为了提高性能、降低成本，请选择 Microsoft Sentinel 所在的同一区域。

6. 将开始部署。 创建函数应用并应用了部署包之后，会显示一个通知。

7. 转到 Azure 门户，获取函数应用配置。

2. 配置函数应用

1. 在函数应用中选择“函数应用名称”，然后选择“配置”。
2. 在“应用程序设置”选项卡中，选择“+ 新建应用程序设置” 。
3. 分别添加以下每个应用程序设置及其各自的字符串值（区分大小写）：SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri（可选）（添加函数应用所需的任何其他设置）将 uri 值设置为：<add uri value>

注意：如果针对以上任何值使用 Azure 密钥保管库机密，请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。 有关更多详细信息，请参阅 Azure 密钥保管库参考文档。

• 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如，如果使用的是公有云，将值留空；如果使用的是 Azure GovUS 云环境，则指定以下格式的值：https://<CustomerId>.ods.opinsights.azure.us.

4. 输入所有应用程序设置后，单击“保存”。

后续步骤

有关详细信息，请转到 Azure 市场中的相关解决方案。