Sdílet prostřednictvím

Aktivity Armis (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Konektor Armis Activities poskytuje možnost ingestovat aktivity zařízení Armis do Služby Microsoft Sentinel prostřednictvím rozhraní ARMIS REST API. Další informace najdete v dokumentaci https://<YourArmisInstance>.armis.com/api/v1/doc k rozhraní API. Konektor poskytuje možnost získat informace o aktivitě zařízení z platformy Armis. Armis využívá vaši stávající infrastrukturu ke zjišťování a identifikaci zařízení bez nutnosti nasazovat agenty. Armis zjistí, co všechna zařízení ve vašem prostředí dělají, a klasifikuje tyto aktivity, aby získala kompletní přehled o chování zařízení. Tyto aktivity se analyzují, aby porozuměly normálnímu a neobvyklému chování zařízení a použily se k vyhodnocení rizika zařízení a sítě.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Kód aplikace funkcí Azure https://aka.ms/sentinel-ArmisActivitiesAPI-functionapp
Tabulky Log Analytics Armis_Activities_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Armis Corporation

Ukázky dotazů

Události aktivity Armis – všechny aktivity.

Armis_Activities_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete provést integraci s aktivitami Armis (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se tajný klíč Armis. Další informace o rozhraní API najdete v dokumentaci https://<YourArmisInstance>.armis.com/api/v1/doc

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní Armis API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

POZNÁMKA: Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání, která se nasadí jako součást řešení. Pokud chcete zobrazit kód funkce v Log Analytics, otevřete okno Protokoly Log Analytics nebo Microsoft Sentinelu, klikněte na Funkce a vyhledejte alias ArmisActivities a načtěte kód funkce nebo klikněte sem. Aktivace funkce obvykle trvá 10 až 15 minut po instalaci nebo aktualizaci řešení.

KROK 1 : Kroky konfigurace pro rozhraní ARMIS API

Podle těchto pokynů vytvořte tajný klíč rozhraní API Armis.

  1. Přihlášení k instanci Armis
  2. Přejděte do Nastavení –> API Management
  3. Pokud tajný klíč ještě není vytvořený, stiskněte tlačítko Vytvořit a vytvořte tajný klíč.
  4. Pokud chcete získat přístup ke tajnému klíči, stiskněte tlačítko Zobrazit.
  5. Tajný klíč je teď možné zkopírovat a použít během konfigurace konektoru Armis Activities.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru Armis Activities získáte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také autorizační klíče armisového rozhraní API.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru Armis.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure Deploy to Azure Gov

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte následující informace:

    • Název funkce
    • ID pracovního prostoru
    • Klíč pracovního prostoru
    • Tajný klíč Armis
    • Armis URL https://<armis-instance>.armis.com/api/v1/
    • Název tabulky aktivity Armis
    • Plán armis
    • Vyhněte se duplicitám (výchozí hodnota: false)

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor aktivity Armis ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

  1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

  2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

  3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

  4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

  5. Podle pokynů na obrazovce zadejte tyto informace:

    a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

    b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

    c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

    d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. ARMISXXXXX).

    e. Vyberte modul runtime: Zvolte Python 3.8 nebo novější.

    f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

  6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

  7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
  2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
  3. Přidejte jednotlivá nastavení aplikace s příslušnými hodnotami (rozlišují se malá a velká písmena):
    • ID pracovního prostoru
    • Klíč pracovního prostoru
    • Tajný klíč Armis
    • Armis URL https://<armis-instance>.armis.com/api/v1/
    • Název tabulky aktivity Armis
    • Plán armis
    • Vyhněte se duplicitám (výchozí hodnota: false)
    • LogAnalyticsUri (volitelné)
  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.