你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Tenable.io 漏洞管理(使用 Azure 函数)连接器
Tenable.io 数据连接器提供了从 Tenable.io 平台(在云中管理)通过 REST API 将资产和漏洞数据导入 Microsoft Sentinel 的功能。 详细信息请参阅 API 文档。 连接器提供获取数据的功能,有助于检查潜在的安全风险、深入了解计算资产、诊断配置问题等
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| 应用程序设置 | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri(可选) |
| Azure 函数应用代码 | https://aka.ms/sentinel-TenableIO-functionapp |
| Log Analytics 表 | Tenable_IO_Assets_CL Tenable_IO_Vuln_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Tenable |
查询示例
TenableIO VM 报告 - 所有资产
Tenable_IO_Assets_CL
| sort by TimeGenerated desc
TenableIO VM 报告 - 所有漏洞
Tenable_IO_Vuln_CL
| sort by TimeGenerated desc
根据特定资产选择唯一漏洞。
Tenable_IO_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
选择所有 Azure 资产。
Tenable_IO_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
先决条件
若要与 Tenable.io 漏洞管理(使用 Azure 函数)集成,请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 具有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- REST API 凭据/权限:需要 TenableAccessKey 和 TenableSecretKey 才能访问 Tenable REST API。 请参阅文档来详细了解 API。 检查所有要求,并按照说明获取凭据。
供应商安装说明
注意
该连接器使用 Azure Durable Functions 连接 Tenable.io API,定期将资产和漏洞拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
注意
此数据连接器依赖基于 Kusto 函数的漏洞 Tenable.io 分析程序和资产 Tenable.io 分析程序来按预期工作(使用 Microsoft Sentinel 解决方案进行部署)。
步骤 1 - Tenable.io 的配置步骤
按照说明获取所需 API 凭据。
步骤 2 - 从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数应用
重要提示:部署工作区数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下位置复制)。
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法,通过 ARM 模板自动部署 Tenable.io 漏洞管理报表数据连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
注意:在同一资源组内,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入 TenableAccessKey 和 TenableSecretKey 并部署。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
请按照以下分步说明操作,使用 Azure Functions 手动部署 Tenable.io 漏洞管理报表数据连接器(通过 Visual Studio Code 进行部署)。
1. 部署函数应用
注意:需要为 Azure 函数开发准备 VS 代码。
下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。
从提取的文件中选择顶级文件夹。
在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。
根据提示提供以下信息:
a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。
b. 选择订阅:选择要使用的订阅。
c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)
d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 TenableIOXXXXX)。
e. 选择运行时:选择 Python 3.8。
f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域。
将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。
转到 Azure 门户,获取函数应用配置。
2. 配置函数应用
- 在函数应用中选择“函数应用名称”,然后选择“配置”。
- 在“应用程序设置”选项卡中,选择“新建应用程序设置”。
- 单独添加以下每个应用程序设置,以及各自的字符串值(区分大小写):TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri(选填)
- 使用 logAnalyticsUri 替代专用云的 Log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:
https://<WorkspaceID>.ods.opinsights.azure.us。 3. 输入所有应用程序设置后,单击“保存”。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。