مشاركة عبر

موصل HYAS Protect (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

توفر HYAS Protect سجلات تستند إلى قيم السمعة - محظورة، ضارة، مسموح بها، مريبة.

إنه محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinel-HYASProtect-functionapp
جدول (جداول) Log Analytics HYASProtectDnsSecurityLogs_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل HYAS

عينات الاستعلام

كافة السجلات

HYASProtectDnsSecurityLogs_CL

المتطلبات الأساسية

للتكامل مع HYAS Protect (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح واجهة برمجة تطبيقات HYAS مطلوب لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات HYAS لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف Azure Blob Storage. تحقق من صفحة تسعير Azure Functions وصفحة تسعير Azure Blob Storage للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات HYAS Protect باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم الدالة واسم الجدول ومعرف مساحة العمل ومفتاح مساحة العمل ومفتاح واجهة برمجة التطبيقات و TimeInterval و FetchBlockedDomains و FetchMaliciousDomains و FetchSuspiciousDomains و FetchPermittedDomains ونشرها.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات HYAS Protect Logs يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدِّم المعلومات التالية في المطالبات:

    أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

    ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

    جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

    د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، HyasProtectLogsXXX).

    هـ. حدد وقت التشغيل: اختر Python 3.8.

    و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. يبدأ النشر. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
  3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): APIKey Polling WorkspaceID WorkspaceKey . بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.