Konektor Vectra XDR (menggunakan Azure Functions) untuk Microsoft Sentinel
Konektor Vectra XDR memberikan kemampuan untuk menyerap data Deteksi, Audit, Penilaian Entitas, Penguncian, dan Kesehatan Vectra ke Microsoft Azure Sentinel melalui Vectra REST API. Lihat dokumentasi API: https://support.vectra.ai/s/article/KB-VS-1666 untuk informasi selengkapnya.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Kode aplikasi fungsi Azure | https://aka.ms/sentinel-VectraXDR-functionapp |
| Alias fungsi Kusto | VectraDetections |
| Url fungsi Kusto | https://aka.ms/sentinel-VectraDetections-parser |
| Tabel Log Analytics | Detections_Data_CL Audits_Data_CL Entity_Scoring_Data_CL Lockdown_Data_CL Health_Data_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Dukungan Vectra |
Kueri sampel
Peristiwa Deteksi Vectra - Semua Peristiwa Deteksi.
Detections_Data_CL
| sort by TimeGenerated desc
Peristiwa Audit Vectra - Semua Peristiwa Audit.
Audits_Data_CL
| sort by TimeGenerated desc
Peristiwa Penilaian Entitas Vectra - Semua Peristiwa Penilaian Entitas.
Entity_Scoring_Data_CL
| sort by TimeGenerated desc
Peristiwa Penguncian Vectra - Semua Peristiwa Penguncian.
Lockdown_Data_CL
| sort by TimeGenerated desc
Peristiwa Kesehatan Vectra - Semua Peristiwa Kesehatan.
Health_Data_CL
| sort by TimeGenerated desc
Prasyarat
Untuk berintegrasi dengan Vectra XDR (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
-
Kredensial/izin REST API: ID Klien Vectra dan Rahasia Klien diperlukan untuk Kesehatan, Penilaian Entitas, Deteksi, Penguncian, dan Pengumpulan data Audit. Lihat dokumentasi untuk mempelajari selengkapnya tentang API di
https://support.vectra.ai/s/article/KB-VS-1666.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke Vectra API untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
Catatan
Konektor data ini bergantung pada parser berdasarkan Fungsi Kusto agar berfungsi seperti yang diharapkan. Ikuti langkah-langkah ini untuk Pengurai Deteksi, Parser Audit, Parser Penilaian Entitas, Pengurai Pengurai Penguncian dan Pengurai Kesehatan untuk membuat alias fungsi Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown , dan VectraHealth.
LANGKAH 1 - Langkah-langkah konfigurasi untuk Kredensial API Vectra
Ikuti instruksi ini untuk membuat ID Klien Vectra dan Rahasia Klien.
- Masuk ke portal Vectra Anda
- Navigasi ke Kelola -> Klien API
- Dari halaman Klien API, pilih 'Tambahkan Klien API' untuk membuat klien baru.
- Tambahkan Nama Klien, pilih Peran dan klik Hasilkan Kredensial untuk mendapatkan kredensial klien Anda.
- Pastikan untuk merekam ID Klien dan Kunci Rahasia Anda untuk diamankan. Anda akan memerlukan dua informasi ini untuk mendapatkan token akses dari Vectra API. Token akses diperlukan untuk membuat permintaan ke semua titik akhir VECTRA API.
LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor data Vectra, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut) yang tersedia dengan mudah.., serta Kredensial Otorisasi API Vectra
Opsi 1 - Templat Azure Resource Manager (ARM)
Gunakan metode ini untuk penyebaran otomatis konektor Vectra.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan informasi di bawah ini :
- Nama Fungsi
- ID Ruang Kerja
- Kunci Ruang Kerja
- URL Dasar Vectra
https://<vectra-portal-url> - Id Klien Vectra - Kesehatan
- Kunci Rahasia Klien Vectra - Kesehatan
- Id Klien Vectra - Penilaian Entitas
- Rahasia Klien Vectra - Penilaian Entitas
- Id Klien Vectra - Deteksi
- Rahasia Klien Vectra - Deteksi
- ID Klien Vectra - Audit
- Rahasia Klien Vectra - Audit
- ID Klien Vectra - Penguncian
- Rahasia Klien Vectra - Penguncian
- StartTime (dalam Format MM/DD/YYYY HH:MM:SS)
- Nama Tabel Audit
- Nama Tabel Deteksi
- Nama Tabel Penilaian Entitas
- Nama Tabel Lockdown
- Nama Tabel Kesehatan
- Tingkat Log (Default: INFO)
- Jadwal Penguncian
- Jadwal Kesehatan
- Jadwal Deteksi
- Jadwal Audit
- Jadwal Penilaian Entitas
Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
Klik Beli untuk menyebarkan.
Opsi 2 - Penyebaran Manual Azure Functions
Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data Vectra secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).
1. Menyebarkan Aplikasi Fungsi
CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.
Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.
Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.
Pilih folder tingkat atas dari file yang diekstrak.
Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.
Berikan informasi berikut pada permintaan:
a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.
b. Pilih Langganan: Pilih langganan yang akan digunakan.
c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)
d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya VECTRAXXXXX).
e. Pilih runtime: Pilih Python 3.8 atau lebih tinggi.
f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.
Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.
Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.
2. Mengonfigurasi Aplikasi Fungsi
- Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
- Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
- Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai masing-masing (peka huruf besar/kecil):
- ID Ruang Kerja
- Kunci Ruang Kerja
- URL Dasar Vectra
https://<vectra-portal-url> - Id Klien Vectra - Kesehatan
- Kunci Rahasia Klien Vectra - Kesehatan
- Id Klien Vectra - Penilaian Entitas
- Rahasia Klien Vectra - Penilaian Entitas
- Id Klien Vectra - Deteksi
- Rahasia Klien Vectra - Deteksi
- ID Klien Vectra - Audit
- Rahasia Klien Vectra - Audit
- ID Klien Vectra - Penguncian
- Rahasia Klien Vectra - Penguncian
- StartTime (dalam Format MM/DD/YYYY HH:MM:SS)
- Nama Tabel Audit
- Nama Tabel Deteksi
- Nama Tabel Penilaian Entitas
- Nama Tabel Lockdown
- Nama Tabel Kesehatan
- Tingkat Log (Default: INFO)
- Jadwal Penguncian
- Jadwal Kesehatan
- Jadwal Deteksi
- Jadwal Audit
- Jadwal Penilaian Entitas
- logAnalyticsUri (opsional)
- Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut:
https://<CustomerId>.ods.opinsights.azure.us.
- Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.