Konektor CyberArkAudit (menggunakan Azure Functions) untuk Microsoft Azure Sentinel
Konektor data Audit CyberArk menyediakan kemampuan untuk mengambil log peristiwa keamanan dari layanan Audit CyberArk dan lebih banyak peristiwa ke Microsoft Azure Sentinel melalui REST API. Konektor menyediakan kemampuan untuk mendapatkan peristiwa yang membantu memeriksa potensi risiko keamanan, menganalisis penggunaan kolaborasi tim Anda, mendiagnosis masalah konfigurasi, dan banyak lagi.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
Atribut konektor | Deskripsi |
---|---|
Pengaturan aplikasi | CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (opsional) |
Kode aplikasi fungsi Azure | https://aka.ms/sentinel-CyberArkAudit-functionapp |
Tabel Log Analytics | CyberArk_AuditEvents_CL |
Dukungan aturan pengumpulan data | Saat ini tidak didukung |
Didukung oleh | Dukungan CyberArk |
Kueri sampel
Peristiwa Audit CyberArk - Semua Aktivitas.
CyberArkAudit
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan CyberArkAudit (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- Detail dan Kredensial Koneksi REST API Audit: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint , dan AuditApiBaseUrl diperlukan untuk melakukan panggilan API.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke Azure Blob Storage API untuk menarik log ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya tambahan untuk penyerapan data dan untuk menyimpan data dalam biaya Azure Blob Storage. Periksa halaman harga Azure Functions dan halaman harga Azure Blob Storage untuk detailnya.
Catatan
Kunci otorisasi API atau token disimpan dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci.
LANGKAH 1 - Langkah konfigurasi untuk Integrasi SIEM Audit CyberArk
Ikuti instruksi untuk mendapatkan detail koneksi dan kredensial.
- Gunakan Nama Pengguna dan Kata Sandi untuk akun Audit CyberArk Anda.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor data Audit CyberArk, miliki Nama Ruang Kerja dan Lokasi Ruang Kerja (dapat disalin dari yang berikut).
Nama Ruang Kerja
Lokasi Ruang Kerja
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor data Audit CyberArk menggunakan Templat ARM.
CATATAN: Dalam grup sumber daya yang sama, Anda tidak dapat mencampur aplikasi Windows dan Linux di wilayah yang sama. Pilih grup sumber daya yang ada tanpa aplikasi Windows di dalamnya atau buat grup sumber daya baru. 3. Masukkan CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL dan sebarkan. 4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data Audit CyberArk secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).
1. Menyebarkan Aplikasi Fungsi
CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.
Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.
Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.
Pilih folder tingkat atas dari file yang diekstrak.
Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.
Berikan informasi berikut pada permintaan:
a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.
b. Pilih Langganan: Pilih langganan yang akan digunakan.
c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)
d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya CyberArkXXXXXX).
e. Pilih runtime: Pilih Python 3.8.
f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.
Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.
Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.
2. Mengonfigurasi Aplikasi Fungsi
Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
Di tab Pengaturan aplikasi, pilih ** Pengaturan aplikasi baru**.
Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil):
- CyberArkAuditUsername
- CyberArkAuditPassword
- CyberArkAuditServerURL
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (opsional)
Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut:
https://<CustomerId>.ods.opinsights.azure.us
.Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.