موصل AbnormalSecurity (باستخدام Azure Functions) ل Microsoft Sentinel

يوفر موصل بيانات الأمان غير الطبيعي القدرة على استيعاب التهديدات وسجلات الحالة في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Rest للأمان غير الطبيعي.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل	‏‏الوصف
إعدادات التطبيق	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (اختياري)(إضافة أي إعدادات أخرى مطلوبة من قبل Function App)تعيين uri القيمة إلى: <add uri value>
التعليمات البرمجية لتطبيق وظائف Azure	https://aka.ms/sentinel-abnormalsecurity-functionapp
جدول (جداول) Log Analytics	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
دعم قواعد جمع البيانات	غير مدعوم حاليًا
مدعومة من قبل	أمان غير طبيعي

عينات الاستعلام

جميع سجلات المخاطر الأمنية غير الطبيعية

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

جميع سجلات حالة الأمان غير الطبيعية

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع AbnormalSecurity (باستخدام Azure Functions) تأكد من أن لديك:

• أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
• رمز واجهة برمجة تطبيقات الأمان غير طبيعي: مطلوب رمز مميز واجهة برمجة تطبيقات الأمان غير طبيعي. راجع الوثائق لمعرفة المزيد حول واجهة برمجة تطبيقات الأمان غير طبيعي. ملاحظة: مطلوب حساب أمان غير طبيعي

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات REST للأمان غير الطبيعي لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

الخطوة 1 - خطوات التكوين واجهة برمجة تطبيقات الأمان غير طبيعي

اتبع هذه الإرشادات التي يوفرها الأمان غير الطبيعي لتكوين تكامل واجهة برمجة تطبيقات REST. ملاحظة: مطلوب حساب أمان غير طبيعي

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات الأمان غير الطبيعي، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى الرمز المميز للتخويل غير الطبيعي واجهة برمجة تطبيقات الأمان، المتوفر بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب نشرا تلقائيا لموصل الأمان غير الطبيعي باستخدام قالب ARM.

1. انقر فوق الزر Deploy to Azure أدناه.

   

2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

3. أدخل معرف مساحة عمل Microsoft Sentinel ومفتاح Microsoft Sentinel المشترك ومفتاح واجهة برمجة تطبيقات REST للأمان غير الطبيعي.

• يتم تعيين الفاصل الزمني الافتراضي لسحب آخر خمس (5) دقائق من البيانات. إذا كان الفاصل الزمني يحتاج إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك (في ملف function.json، نشر النشر) لمنع استيعاب البيانات المتداخلة.

4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات الأمان غير الطبيعي يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

5. قدِّم المعلومات التالية في المطالبات:

   أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

   ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

   جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

   د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، AbnormalSecurityXX).

   هـ. حدد وقت التشغيل: اختر Python 3.8.

   و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

1. في Function App، حدد Function App Name وحدد Configuration.
2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (اختياري) (إضافة أي إعدادات أخرى مطلوبة من قبل Function App) قم بتعيين uri القيمة إلى: <add uri value>

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Azure Key Vault للحصول على مزيد من التفاصيل.

• استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

4. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.