AbnormalSecurity (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

Az Abnormális biztonsági adatösszekötő lehetővé teszi a fenyegetések és az esetnaplók Microsoft Sentinelbe való betöltését az Abnormális biztonsági rest API használatával.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Példák lekérdezésekre

Minden rendellenes biztonsági fenyegetésnapló

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Minden rendellenes biztonsági esetnapló

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Előfeltételek

Az AbnormalSecurity szolgáltatással való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

• Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
• Rendellenes Biztonsági API jogkivonat: Rendellenes Biztonsági API jogkivonatra van szükség. A rendellenes Biztonsági API további információkért tekintse meg a dokumentációt. Megjegyzés: Rendellenes biztonsági fiók szükséges

Szállító telepítési útmutatója

1. LÉPÉS – A rendellenes Biztonsági API konfigurációs lépései

A REST API-integráció konfigurálásához kövesse az Abnormális biztonság utasításait. Megjegyzés: Rendellenes biztonsági fiók szükséges

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A rendellenes biztonsági adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a rendellenes Biztonsági API engedélyezési jogkivonattal, amely könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ez a módszer egy ARM-sablon használatával biztosítja a rendellenes biztonsági összekötő automatikus üzembe helyezését.

1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

   

2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

3. Adja meg a Microsoft Sentinel-munkaterület azonosítóját, a Microsoft Sentinel megosztott kulcsát és a rendellenes biztonsági REST API-kulcsot.

• Az alapértelmezett időintervallum az utolsó öt (5) perc adat lekérésére van beállítva. Ha módosítani kell az időintervallumot, javasoljuk, hogy ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját (a function.json fájlban, az üzembe helyezés után), hogy megakadályozza az átfedésben lévő adatbetöltést.

4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezheti üzembe a rendellenes biztonsági adatösszekötőt az Azure Functionsben (Üzembe helyezés a Visual Studio Code-on keresztül).

1. Függvényalkalmazás üzembe helyezése

MEGJEGYZÉS: VS-kódot kell előkészítenie az Azure-függvények fejlesztéséhez.

1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.

2. Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.

3. Válassza ki a legfelső szintű mappát a kibontott fájlokból.

4. Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.

5. Amikor a rendszer kéri, adja meg az alábbi információkat:

   a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.

   b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.

   c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)

   d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. AbnormalSecurityXX).

   e. Válasszon futtatókörnyezetet: Válassza a Python 3.11-et.

   f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.

6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

7. Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.

2. A függvényalkalmazás konfigurálása

1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
3. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetésével): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (nem kötelező) (a függvényalkalmazás által igényelt egyéb beállítások hozzáadása) Állítsa be az értéket a uri következőre: <add uri value>

Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg az Azure Key Vault referenciáinak dokumentációját .

• A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.

4. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.