TheHive Project - موصل TheHive (باستخدام Azure Functions) ل Microsoft Sentinel
يوفر موصل البيانات TheHive القدرة على استيعاب الأحداث الشائعة TheHive في Microsoft Sentinel من خلال Webhooks. يمكن ل TheHive إعلام النظام الخارجي بأحداث التعديل (إنشاء حالة، تحديث التنبيه، تعيين المهمة) في الوقت الفعلي. عند حدوث تغيير في TheHive، يتم إرسال طلب HTTPS POST مع معلومات الحدث إلى عنوان URL لموصل بيانات رد الاتصال. راجع وثائق Webhooks للحصول على مزيد من المعلومات. يوفر الموصل القدرة على الحصول على الأحداث التي تساعد على فحص المخاطر الأمنية المحتملة وتحليل استخدام فريقك للتعاون وتشخيص مشكلات التكوين والمزيد.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | TheHive_CL |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
أحداث TheHive - جميع الأنشطة.
TheHive_CL
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع TheHive Project - TheHive (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- Webhooks Credentials/permissions: TheHiveBearerToken, Callback URL مطلوبة لخطافات الويب العاملة. راجع الوثائق لمعرفة المزيد حول تكوين Webhooks.
إرشادات تثبيت المورد
إشعار
يستخدم موصل البيانات هذا Azure Functions استنادا إلى مشغل HTTP لانتظار طلبات POST مع سجلات لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.
(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع TheHive الذي يتم نشره مع حل Microsoft Sentinel.
الخطوة 1 - خطوات التكوين ل TheHive
اتبع الإرشادات لتكوين Webhooks.
- أسلوب المصادقة هو Beared Auth.
- إنشاء TheHiveBearerToken وفقا لنهج كلمة المرور الخاصة بك.
- إعداد إخطارات Webhook في ملف application.conf بما في ذلك المعلمة TheHiveBearerToken.
الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة
هام: قبل نشر موصل البيانات TheHive، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ