Megosztás a következőn keresztül:

A Microsoft Sentinel összetartó (Az Azure Functions használatával) összekötője

  • Cikk

A Cohesity függvényalkalmazások lehetővé teszik a Cohesity Datahawk ransomware-riasztások Microsoft Sentinelbe való betöltését.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Log Analytics-tábla(ok) Cohesity_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Összetartóság

Példák lekérdezésekre

Az összes összetartó napló

Cohesity_CL

| sort by TimeGenerated desc

Előfeltételek

A Cohesity szolgáltatással való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Azure Blob Storage kapcsolati sztring és tároló neve: Azure Blob Storage kapcsolati sztring és tároló neve

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functionst használja, amely az Azure Blob Storage-hoz és a KeyVaulthoz csatlakozik. Ez további költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát, az Azure Blob Storage díjszabási oldalát és az Azure KeyVault díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure Functions-alkalmazással való használatához.

1. LÉPÉS – A Cohesity DataHawk API-kulcs lekérése (lásd az 1. hibaelhárítási utasítást)

2. LÉPÉS – Az Azure-alkalmazás (hivatkozás) regisztrálása és az alkalmazás (ügyfél) azonosítója, a címtár (bérlő) azonosítója és a titkos kód (utasítások) mentése. Adjon neki Azure Storage-engedélyt (user_impersonation). Emellett rendelje hozzá a "Microsoft Sentinel Közreműködő" szerepkört az alkalmazáshoz a megfelelő előfizetésben.

3. LÉPÉS – Az összekötő és a hozzá tartozó Azure Functions üzembe helyezése.

Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető az összetartó adatösszekötő ARM-sablonnal.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg az előző lépésekben létrehozott paramétereket

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.