你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Holm Security 资产数据(使用 Azure Functions)连接器
该连接器提供将数据从 Holm 安全中心轮询到 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | net_assets_CL web_assets_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Holm Security |
查询示例
所有低净资产
net_assets_CL
| where severity_s == 'low'
所有低 Web 资产
web_assets_CL
| where severity_s == 'low'
先决条件
要与 Holm Security 资产数据(使用 Azure Functions)集成,请确保具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Holm 安全 API 令牌:需要 Holm 安全 API 令牌。 Holm 安全 API 令牌
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Holm 安全资产,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
第 1 步 - Holm 安全 API 的配置步骤
按照这些说明创建 API 身份验证令牌。
第 2 步 - 使用以下部署选项部署连接器和关联的 Azure 函数
重要信息:在部署 Holm 安全连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下内容复制)以及 Holm 安全 API 授权令牌。
Azure 资源管理器 (ARM) 模板部署
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法自动部署 Holm 安全连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入“工作区 ID”、“工作区密钥”、“API 用户名”、“API 密码”、“和/或其他必填字段”。
注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。