اقرأ باللغة الإنجليزية

مشاركة عبر

موصل CommvaultSecurityIQ (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

تمكن وظيفة Azure هذه مستخدمي Commvault من استيعاب التنبيهات/الأحداث في مثيل Microsoft Sentinel الخاص بهم. باستخدام القواعد التحليلية، يمكن ل Microsoft Sentinel إنشاء أحداث Microsoft Sentinel تلقائيا من الأحداث والسجلات الواردة.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
إعدادات التطبيق apiUsername
كلمة مرور apipassword
apiToken
workspaceID
workspaceKey
URI
logAnalyticsUri (اختياري)(إضافة أي إعدادات أخرى مطلوبة من قبل Function App)تعيين uri القيمة إلى: <add uri value>
التعليمات البرمجية لتطبيق وظائف Azure إضافة٪20GitHub٪20link٪20to٪20Function٪20App٪20code
جدول (جداول) Log Analytics CommvaultSecurityIQ_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Commvault

عينات الاستعلام

**آخر 10 أحداث/تنبيهات **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

المتطلبات الأساسية

للتكامل مع CommvaultSecurityIQ (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • عنوان URL لنقطة نهاية بيئة Commvault: تأكد من اتباع الوثائق وتعيين القيمة السرية في KeyVault
  • رمز Commvault QSDK المميز: تأكد من اتباع الوثائق وتعيين القيمة السرية في KeyVault

إرشادات تثبيت المورد

ملاحظة

يستخدم هذا الموصل Azure Functions للاتصال بمثيل Commvault لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين للرمز المميز ل Commvalut QSDK

اتبع هذه الإرشادات لإنشاء رمز مميز لواجهة برمجة التطبيقات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات CommvaultSecurityIQ، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي)، بالإضافة إلى عنوان URL لنقطة نهاية Commvault ورمز QSDK المميز، المتوفرين بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Commvault Security IQ.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم مستخدم واجهة برمجة التطبيقات وكلمة مرور واجهة برمجة التطبيقات و/أو الحقول المطلوبة الأخرى.

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات CommvaultSecurityIQ يدويا باستخدام Azure Functions.

  1. إنشاء Function App

  2. من مدخل Microsoft Azure، انتقل إلى Function App.

  3. انقر فوق + إضافة في الأعلى.

  4. في علامة التبويب Basics، تأكد من تعيين مكدس وقت التشغيل إلى "Add Required Language".

  5. في علامة التبويب استضافة، تأكد من تعيين نوع الخطة إلى "إضافة نوع الخطة".

  6. "إضافة التكوينات المطلوبة الأخرى".

  7. "قم بإجراء تغييرات تكوين أخرى مفضلة"، إذا لزم الأمر، ثم انقر فوق إنشاء.

  8. استيراد Function App Code

  9. في تطبيق الوظائف الذي تم إنشاؤه حديثا، حدد Functions من قائمة التنقل وانقر فوق + Add.

  10. حدد Timer Trigger.

  11. أدخل اسم دالة فريدا في حقل دالة جديدة واترك جدول cron الافتراضي كل 5 دقائق، ثم انقر فوق إنشاء دالة.

  12. انقر فوق اسم الدالة وانقر فوق Code + Test من الجزء الأيمن.

  13. انسخ Function App Code والصقه في محرر Function App run.ps1 .

  14. انقر فوق حفظ.

  15. تكوين Function App

  16. في شاشة Function App، انقر فوق Function App name وحدد Configuration.

  17. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.

  18. أضف كل من إعدادات التطبيق 'x (عدد)' التالية بشكل فردي، ضمن Name، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف) ضمن Value: apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (اختياري) (إضافة أي إعدادات أخرى مطلوبة من قبل Function App) قم بتعيين uri القيمة إلى: <add uri value>

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Azure Key Vault للحصول على مزيد من التفاصيل.

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.