Aracılığıyla paylaş

Microsoft Sentinel için CommvaultSecurityIQ (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Bu Azure İşlevi, Commvault kullanıcılarının uyarıları/olayları Microsoft Sentinel örneğine almalarını sağlar. Analiz Kuralları ile Microsoft Sentinel, gelen olaylardan ve günlüklerden otomatik olarak Microsoft Sentinel olayları oluşturabilir.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Açıklama
Uygulama ayarları apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (isteğe bağlı)(İşlev Uygulaması için gereken diğer ayarları ekleyin)Değeri şu uri şekilde ayarlayın: <add uri value>
Azure işlev uygulaması kodu Ekle%20GitHub%20link%20to%20Function%20App%20code
Log Analytics tabloları CommvaultSecurityIQ_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Commvault

Sorgu örnekleri

**Son 10 olay/uyarı **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Önkoşullar

CommvaultSecurityIQ ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Commvault Ortam Uç Noktası URL'si: Belgeleri izlediğinize ve KeyVault'ta gizli dizi değerini ayarladığınızdan emin olun
  • Commvault QSDK Belirteci: Belgeleri izlediğinize ve KeyVault'ta gizli dizi değerini ayarladığınızdan emin olun

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere bir Commvault Örneğine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Commvalut QSDK Belirteci için yapılandırma adımları

API Belirteci oluşturmak için bu yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: CommvaultSecurityIQ veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve Commvault Uç Noktası URL'si ve QSDK Belirteci'ne sahip olun.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Commvault Security IQ veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Kullanıcı Adı, API Parolası, 've/veya Diğer gerekli alanlar' girin.

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

CommvaultSecurityIQ veri bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

  1. İşlev Uygulaması oluşturma

  2. Azure Portalı'ndan İşlev Uygulaması'na gidin.

  3. Üstteki + Ekle'ye tıklayın.

  4. Temel Bilgiler sekmesinde Çalışma Zamanı yığınının 'Gerekli Dil Ekle' olarak ayarlandığından emin olun.

  5. Barındırma sekmesinde Plan türünün 'Plan Türü Ekle' olarak ayarlandığından emin olun.

  6. 'Diğer gerekli yapılandırmaları ekle'.

  7. Gerekirse 'Diğer tercih edilebilir yapılandırma değişikliklerini yapın', ardından Oluştur'a tıklayın.

  8. İşlev Uygulama Kodunu İçeri Aktar

  9. Yeni oluşturulan İşlev Uygulamasında, gezinti menüsünden İşlevler'i seçin ve + Ekle'ye tıklayın.

  10. Zamanlayıcı Tetikleyicisi'ne tıklayın.

  11. Yeni İşlev alanına benzersiz bir İşlev Adı girin ve her 5 dakikada bir varsayılan cron zamanlamasını bırakın ve İşlev Oluştur'a tıklayın.

  12. İşlev adına tıklayın ve sol bölmeden Kod + Test'e tıklayın.

  13. İşlev Uygulama Kodu'nu kopyalayın ve İşlev Uygulaması run.ps1 düzenleyicisine yapıştırın.

  14. Kaydet'e tıklayın.

  15. İşlev Uygulamasını Yapılandırma

  16. İşlev Uygulaması ekranında İşlev Uygulaması adına tıklayın ve Yapılandırma'yı seçin.

  17. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

  18. Aşağıdaki 'x (sayı)' uygulama ayarlarının her birini Ad'ın altına, ilgili dize değerleriyle (büyük/küçük harfe duyarlı) Değer altına ekleyin: apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (isteğe bağlı) (İşlev Uygulaması için gereken diğer ayarları ekleyin) Değeri şu şekilde ayarlayın uri : <add uri value>

Not: Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Azure Key Vault başvuru belgelerine bakın.

  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
  1. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.