مشاركة عبر

موصل Vectra XDR (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يمنح موصل Vectra XDR القدرة على استيعاب اكتشافات Vectra، والتدقيق، وتسجيل الكيانات، والتأمين، وبيانات الصحة في Microsoft Sentinel من خلال Vectra REST API. راجع وثائق واجهة برمجة التطبيقات: https://support.vectra.ai/s/article/KB-VS-1666 لمزيد من المعلومات.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinel-VectraXDR-functionapp
الاسم المستعار لدالة Kusto عمليات VectraDetections
عنوان URL لدالة Kusto https://aka.ms/sentinel-VectraDetections-parser
جدول (جداول) Log Analytics Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل دعم Vectra

عينات الاستعلام

أحداث اكتشافات Vectra - جميع أحداث الاكتشافات.

Detections_Data_CL

| sort by TimeGenerated desc

أحداث تدقيق Vectra - جميع أحداث التدقيق.

Audits_Data_CL

| sort by TimeGenerated desc

أحداث تسجيل نقاط كيان Vectra - جميع أحداث تسجيل الكيانات.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

أحداث Vectra Lockdown - جميع أحداث التأمين.

Lockdown_Data_CL

| sort by TimeGenerated desc

Vectra Health Events - جميع الأحداث الصحية.

Health_Data_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Vectra XDR (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب معرف عميل Vectra وسر العميل لصحة وتسجيل الكيان والكشف والتأمين وجمع البيانات التدقيق. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://support.vectra.ai/s/article/KB-VS-1666.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال بواجهة برمجة تطبيقات Vectra لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

إشعار

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع هذه الخطوات ل محلل الاكتشافات، محلل عمليات التدقيق، محلل تسجيل الكيان، محلل التأمين، محللالصحة لإنشاء الاسم المستعار لوظائف Kusto، VectraDetections، VectraAudits، VectraEntityScoring، VectraLockdown و VectraHealth.

الخطوة 1 - خطوات التكوين لبيانات اعتماد واجهة برمجة تطبيقات Vectra

اتبع هذه الإرشادات لإنشاء معرف عميل Vectra وسر العميل.

  1. تسجيل الدخول إلى مدخل Vectra
  2. انتقل إلى إدارة -> عملاء واجهة برمجة التطبيقات
  3. من صفحة عملاء واجهة برمجة التطبيقات، حدد "إضافة عميل واجهة برمجة التطبيقات" لإنشاء عميل جديد.
  4. أضف Client Name، وحدد Role وانقر على Generate Credentials للحصول على بيانات اعتماد العميل.
  5. تأكد من تسجيل معرف العميل والمفتاح السري لحفظه. ستحتاج إلى هاتين المعلومتين للحصول على رمز مميز للوصول من واجهة برمجة تطبيقات Vectra. مطلوب رمز مميز للوصول لتقديم طلبات إلى جميع نقاط نهاية Vectra API.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات Vectra، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى بيانات اعتماد تخويل Vectra API

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Vectra.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه:

    • اسم الدالة
    • Workspace ID
    • مفتاح مساحة العمل
    • عنوان URL الأساسي ل Vectra https://<vectra-portal-url>
    • معرف عميل Vectra - الصحة
    • Vectra Client Secret Key - Health
    • معرف عميل Vectra - تسجيل الكيانات
    • Vectra Client Secret - تسجيل الكيانات
    • معرف عميل Vectra - عمليات الكشف
    • Vectra Client Secret - عمليات الكشف
    • معرف عميل Vectra - عمليات التدقيق
    • Vectra Client Secret - عمليات التدقيق
    • معرف عميل Vectra - تأمين
    • Vectra Client Secret - Lockdown
    • StartTime (بتنسيق MM/DD/YYYY HH:MM:SS)
    • اسم جدول التدقيق
    • اسم جدول عمليات الكشف
    • اسم جدول تسجيل الكيانات
    • اسم جدول التأمين
    • اسم جدول الحماية
    • مستوى السجل (افتراضي: INFO)
    • جدول تأمين
    • جدول الحماية
    • جدول عمليات الكشف
    • جدول عمليات التدقيق
    • جدول تسجيل الكيانات

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Vectra يدويا باستخدام Azure Functions (التوزيع عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدِّم المعلومات التالية في المطالبات:

    أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

    ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

    جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

    د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال VECTRAXXXXX).

    هـ. حدد وقت التشغيل: اختر Python 3.8 أو أعلى.

    و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
  3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيمها الخاصة (حساسة لحالة الأحرف):
    • Workspace ID
    • مفتاح مساحة العمل
    • عنوان URL الأساسي ل Vectra https://<vectra-portal-url>
    • معرف عميل Vectra - الصحة
    • Vectra Client Secret Key - Health
    • معرف عميل Vectra - تسجيل الكيانات
    • Vectra Client Secret - تسجيل الكيانات
    • معرف عميل Vectra - عمليات الكشف
    • Vectra Client Secret - عمليات الكشف
    • معرف عميل Vectra - عمليات التدقيق
    • Vectra Client Secret - عمليات التدقيق
    • معرف عميل Vectra - تأمين
    • Vectra Client Secret - Lockdown
    • StartTime (بتنسيق MM/DD/YYYY HH:MM:SS)
    • اسم جدول التدقيق
    • اسم جدول عمليات الكشف
    • اسم جدول تسجيل الكيانات
    • اسم جدول التأمين
    • اسم جدول الحماية
    • مستوى السجل (افتراضي: INFO)
    • جدول تأمين
    • جدول الحماية
    • جدول عمليات الكشف
    • جدول عمليات التدقيق
    • جدول تسجيل الكيانات
    • logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.