موصل بيانات Rubrik Security Cloud (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يمكن موصل بيانات Rubrik Security Cloud فرق عمليات الأمان من دمج الرؤى من خدمات مراقبة البيانات من Rubrik في Microsoft Sentinel. تتضمن الرؤى تحديد سلوك نظام الملفات الشاذ المرتبط ببرامج الفدية الضارة والحذف الجماعي، وتقييم نصف قطر الانفجار لهجوم برامج الفدية الضارة، ومشغلي البيانات الحساسة لتحديد أولويات الحوادث المحتملة والتحقيق فيها بسرعة أكبر.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
جدول (جداول) Log Analytics Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Rubrik

عينات الاستعلام

أحداث شذوذ Rubrik - أحداث الشذوذ لجميع أنواع الخطورة.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik Ransomware Analysis Events - أحداث تحليل برامج الفدية الضارة لجميع أنواع الخطورة.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

أحداث Rubrik ThreatHunt - أحداث تتبع المخاطر لجميع أنواع الخطورة.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع موصل بيانات Rubrik Security Cloud (باستخدام Azure Functions) تأكد من أن لديك:

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال بخطاف الويب Rubrik الذي يدفع سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات Rubrik Microsoft Sentinel، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Rubrik.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace ID Key Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Rubrik Microsoft Sentinel يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدِّم المعلومات التالية في المطالبات:

    أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

    ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

    جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

    د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، RubrikXXXXX).

    هـ. حدد وقت التشغيل: اختر Python 3.8 أو أعلى.

    و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
  3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيمها الخاصة (حساسة لحالة الأحرف): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

خطوات نشر النشر

  1. الحصول على نقطة نهاية تطبيق الوظائف
  1. انتقل إلى صفحة نظرة عامة على دالة Azure وانقر فوق علامة التبويب "Functions".
  2. انقر على الدالة المسماة "RubrikHttpStarter".
  3. انتقل إلى "GetFunctionurl" وانسخ عنوان URL للدالة.
  1. أضف خطاف ويب في RubrikSecurityCloud لإرسال البيانات إلى Microsoft Sentinel.

اتبع إرشادات دليل مستخدم Rubrik لإضافة إخطار على الويب لبدء تلقي معلومات الحدث المتعلقة بشذوذ برامج الفدية الضارة

  1. حدد Generic كموفر إخطار على الويب (سيستخدم هذا معلومات الحدث المنسقة من CEF)
  2. أدخل جزء URL من Function-url المنسخ كنقطة نهاية WEBhook URL واستبدل {functionname} ب "RubrikAnomalyOrchestrator"، لحل Rubrik Microsoft Sentinel
  3. حدد الخيار مصادقة متقدمة أو مخصصة
  4. أدخل x-functions-key كعنوان HTTP
  5. أدخل مفتاح الوصول إلى الدالة (قيمة معلمة التعليمات البرمجية من عنوان url للدالة المنسخة) كقيمة HTTP(ملاحظة: إذا قمت بتغيير مفتاح الوصول إلى الدالة هذا في Microsoft Sentinel في المستقبل، فستحتاج إلى تحديث تكوين خطاف الويب هذا)
  6. حدد EventType كشذوذ
  7. حدد مستويات الخطورة التالية: حرج، تحذير، إعلامي
  8. كرر نفس الخطوات لإضافة خطافات الويب لتحليل التحقيق في برامج الفدية وتعقب التهديدات.

ملاحظة: أثناء إضافة خطافات الويب لتحليل التحقيق في برامج الفدية وتعقب التهديدات، استبدل {functionname} ب "RubrikRansomwareOrchestrator" و"RubrikThreatHuntOrchestrator" على التوالي في function-url المنسوخ.

لقد انتهينا الآن من تكوين rubrik Webhook. بمجرد تشغيل أحداث الإخطارات على الويب ، يجب أن تكون قادرا على رؤية أحداث Anomaly، وتحليل فحص برامج الفدية الضارة، وأحداث Threat Hunt من Rubrik إلى جدول مساحة عمل LogAnalytics المعني المسمى "Rubrik_Anomaly_Data_CL"، و"Rubrik_Ransomware_Data_CL"، و"Rubrik_ThreatHunt_Data_CL".

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.