موصل إدارة الثغرات الأمنية القابلة للتدشين (باستخدام Azure Functions) ل Microsoft Sentinel
يوفر موصل بيانات TVM القدرة على استيعاب بيانات الأصول والثغرات الأمنية في Microsoft Sentinel باستخدام واجهات برمجة تطبيقات TVM REST. راجع وثائق واجهة برمجة التطبيقات للحصول على مزيد من المعلومات. يوفر الموصل القدرة على الحصول على البيانات التي تساعد على فحص المخاطر الأمنية المحتملة، والحصول على نظرة ثاقبة على أصول الحوسبة الخاصة بك، وتشخيص مشكلات التكوين والمزيد
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الموصل
سمة الموصل | الوصف |
---|---|
إعدادات التطبيق | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (اختياري) |
التعليمات البرمجية لتطبيق وظائف Azure | https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp |
جدول (جداول) Log Analytics | Tenable_VM_Assets_CL Tenable_VM_Vuln_CL |
دعم قواعد جمع البيانات | غير مدعوم حاليًا |
مدعومة من قبل | Tenable |
عينات الاستعلام
تقرير الأجهزة الظاهرية القابلة للإيجار - جميع الأصول
Tenable_VM_Assets_CL
| sort by TimeGenerated desc
تقرير الأجهزة الظاهرية القابلة للإيجار - جميع Vulns
Tenable_VM_Vuln_CL
| sort by TimeGenerated desc
حدد الثغرات الأمنية الفريدة حسب أصل معين.
Tenable_VM_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
حدد جميع أصول Azure.
Tenable_VM_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
المتطلبات الأساسية
للتكامل مع Tenable Vulnerability Management (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب كل من TenableAccessKey وTenableSecretKey للوصول إلى واجهة برمجة تطبيقات REST Tenable. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.
إرشادات تثبيت المورد
إشعار
يستخدم هذا الموصل Azure Durable Functions للاتصال بواجهة برمجة تطبيقات TenableVM لسحب الأصول والثغرات الأمنية في فاصل زمني منتظم إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.
(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.
إشعار
يعتمد موصل البيانات هذا على محلل TenableVM للثغرات الأمنية وتحليل TenableVM للأصول استنادا إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره مع حل Microsoft Sentinel.
الخطوة 1 - خطوات التكوين ل TenableVM
اتبع الإرشادات للحصول على بيانات اعتماد واجهة برمجة التطبيقات المطلوبة.
الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل وAzure Function App المقترن
قبل نشر موصل بيانات مساحة العمل، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).
الخيار 1 - قالب Azure Resource Manager (ARM)
استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات تقرير إدارة الثغرات الأمنية TenableVM باستخدام قالب ARM.
انقر فوق الزر Deploy to Azure أدناه.
حدد الاشتراك المفضل ومجموعة الموارد والموقع.
أدخل TenableAccessKey وTenableSecretKey وانشر.
ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
انقر فوق شراء للنشر.
الخيار 2 - النشر اليدوي لوظائف Azure
استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تقرير إدارة الثغرات الأمنية TenableVM يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).
1. نشر تطبيق الوظائف
ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير وظائف Azure.
قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.
حدد مجلد المستوى الأعلى من الملفات المستخرجة.
اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.
قدِّم المعلومات التالية في المطالبات:
أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.
ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.
جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)
د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، TenableVMXXXXX).
هـ. حدد وقت التشغيل: اختر Python 3.11.
و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.
ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.
انتقل إلى مدخل Microsoft Azure لتكوين Function App.
2. تكوين تطبيق الوظائف
في Function App، حدد Function App Name وحدد Configuration.
في علامة التبويب Application settings ، حدد New application setting.
أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف):
- TenableAccessKey
- TenableSecretKey
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (اختياري)
- استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي:
https://<WorkspaceID>.ods.opinsights.azure.us
.
بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.