موصل Workplace from Facebook (باستخدام Azure Functions) ل Microsoft Sentinel
يوفر موصل بيانات Workplace القدرة على استيعاب أحداث Workplace الشائعة في Microsoft Sentinel من خلال Webhooks. تمكن خطافات الويب تطبيقات التكامل المخصصة من الاشتراك في الأحداث في Workplace وتلقي التحديثات في الوقت الفعلي. عند حدوث تغيير في Workplace، يتم إرسال طلب HTTPS POST مع معلومات الحدث إلى عنوان URL لموصل بيانات رد الاتصال. راجع وثائق Webhooks للحصول على مزيد من المعلومات. يوفر الموصل القدرة على الحصول على الأحداث التي تساعد على فحص المخاطر الأمنية المحتملة وتحليل استخدام فريقك للتعاون وتشخيص مشكلات التكوين والمزيد.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
سمة الموصل | الوصف |
---|---|
جدول (جداول) Log Analytics | Workplace_Facebook_CL |
دعم قواعد جمع البيانات | غير مدعوم حاليًا |
مدعومة من قبل | Microsoft Corporation |
عينات الاستعلام
أحداث مكان العمل - جميع الأنشطة.
Workplace_Facebook_CL
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع Workplace من Facebook (باستخدام Azure Functions) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- Webhooks Credentials/permissions: WorkplaceAppSecret, WorkplaceVerifyToken, Callback URL مطلوبة لخطافات الويب العاملة. راجع الوثائق لمعرفة المزيد حول تكوين Webhooks وتكوين الأذونات.
إرشادات تثبيت المورد
إشعار
يستخدم موصل البيانات هذا Azure Functions استنادا إلى مشغل HTTP لانتظار طلبات POST مع سجلات لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.
(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع تطبيق Azure Functions.
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للوظيفة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار WorkplaceFacebook وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا على السطر الثاني من الاستعلام، وأدخل اسم المضيف (أسماء) جهاز (أجهزة) Workplace Facebook وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.
الخطوة 1 - خطوات التكوين ل Workplace
اتبع الإرشادات لتكوين Webhooks.
- سجل الدخول إلى Workplace باستخدام بيانات اعتماد المستخدم مسؤول.
- في لوحة مسؤول، انقر فوق عمليات التكامل.
- في طريقة عرض جميع عمليات التكامل، انقر فوق إنشاء تكامل مخصص
- أدخل الاسم والوصف وانقر فوق إنشاء.
- في لوحة تفاصيل التكامل، اعرض سر التطبيق وانسخه.
- في جزء Integration permissions ، قم بتعيين كافة أذونات القراءة. راجع صفحة الأذونات للحصول على التفاصيل.
- انتقل الآن إلى الخطوة 2 لاتباع الخطوات (المدرجة في الخيار 1 أو 2) لنشر دالة Azure.
- أدخل المعلمات المطلوبة وأدخل أيضا رمزا مميزا من اختيارك. انسخ هذا الرمز المميز / لاحظه للخطوة القادمة.
- بعد اكتمال نشر Azure Functions بنجاح، افتح صفحة Function App، وحدد تطبيقك، وانتقل إلى Functions، وانقر فوق Get Function URL وانسخ هذا / لاحظه للخطوة القادمة.
- ارجع إلى Workplace من Facebook. في لوحة تكوين خطافات الويب على كل علامة تبويب تعيين عنوان URL رد الاتصال مثل نفس القيمة التي نسختها في النقطة 9 أعلاه والتحقق من الرمز المميز بنفس القيمة التي نسختها في النقطة 8 أعلاه والتي تم الحصول عليها أثناء الخطوة 2 من نشر Azure Functions.
- انقر فوق حفظ.
الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ووظائف Azure المقترنة
هام: قبل نشر موصل بيانات Workplace، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.