Konektor bitsight data (s využitím Azure Functions) pro Microsoft Sentinel

Datový konektor BitSight podporuje monitorování kybernetických rizik založených na důkazech tím, že přináší data BitSightu v Microsoft Sentinelu.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru	Popis
Kód aplikace funkcí Azure	https://aka.ms/sentinel-BitSight-functionapp
Tabulky Log Analytics	Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL
Podpora pravidel shromažďování dat	V současnosti není podporováno
Podporováno	Podpora BitSightu

Ukázky dotazů

Události upozornění BitSightu – událost výstrah pro všechny společnosti v portfoliu

Alerts_data_CL

| sort by TimeGenerated desc

Události porušení BitSightu – Událost porušení zabezpečení pro všechny společnosti v portfoliu

BitsightBreaches_data_CL

| sort by TimeGenerated desc

Události podrobností společnosti BitSight – Událost podrobností společnosti pro všechny společnosti v portfoliu

BitsightCompany_details_CL

| sort by TimeGenerated desc

Události hodnocení společnosti BitSight – Událost hodnocení společnosti pro všechny společnosti.

BitsightCompany_rating_details_CL

| sort by TimeGenerated desc

Události historické statistiky kontroly BitSight – Události historické statistiky péče pro všechny společnosti.

BitsightDiligence_historical_statistics_CL

| sort by TimeGenerated desc

Události statistiky kontroly BitSightu – Událost statistiky péče pro všechny společnosti.

BitsightDiligence_statistics_CL

| sort by TimeGenerated desc

Události zjištění BitSightu – Událost zjištění pro všechny společnosti

BitsightFindings_data_CL

| sort by TimeGenerated desc

Souhrnné události zjištění BitSightu – Souhrnná událost zjištění pro všechny společnosti

BitsightFindings_summary_CL

| sort by TimeGenerated desc

Události BitSight Graphu – Událost grafu pro všechny společnosti

BitsightGraph_data_CL

| sort by TimeGenerated desc

BitSight Industrial Statistics Events - Industrial Statistics Event for all Companies.

BitsightIndustrial_statistics_CL

| sort by TimeGenerated desc

Události Statistiky pozorování BitSightu – Událost statistiky pozorování pro všechny společnosti.

BitsightObservation_statistics_CL

| sort by TimeGenerated desc

Požadavky

Pokud chcete integrovat datový konektor Bitsight (pomocí Azure Functions), ujistěte se, že máte:

• Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
• Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se token rozhraní API BitSight. Další informace o tokenu rozhraní API najdete v dokumentaci.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k rozhraní BitSight API k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 : Postup vytvoření nebo získání tokenu rozhraní API Pro bitsight

Pokud chcete získat token rozhraní API BitSight, postupujte podle těchto pokynů.

1. Aplikace SPM: Přejděte na kartu Předvolby uživatele na stránce Účet a přejděte na Token rozhraní API předvoleb > účtu > nastavení>.
2. V případě aplikace TPRM: Přejděte na kartu Předvolby uživatele na stránce Účet, přejděte na Token rozhraní API uživatelských předvoleb > účtu > nastavení>.
3. Klasický BitSight: Přejděte na stránku svého účtu, přejděte na token rozhraní API účtu > nastavení>.

KROK 2 – Kroky registrace aplikace pro aplikaci v ID Microsoft Entra

Tato integrace vyžaduje registraci aplikace na webu Azure Portal. Podle kroků v této části vytvořte novou aplikaci v MICROSOFT Entra ID:

1. Přihlaste se k portálu Azure.
2. Vyhledejte a vyberte Microsoft Entra ID.
3. V části Spravovat vyberte Registrace aplikací > Nová registrace.
4. Zadejte zobrazovaný název aplikace.
5. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.
6. Po dokončení registrace se na webu Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta) a ID tenanta. ID klienta a ID tenanta se vyžadují jako parametry konfigurace pro spuštění datového konektoru BitSight.

Referenční odkaz: /azure/active-directory/develop/quickstart-register-app

KROK 3 : Přidání tajného klíče klienta pro aplikaci v Microsoft Entra ID

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota požadovaná pro spuštění datového konektoru BitSight. Podle kroků v této části vytvořte nový tajný klíč klienta:

1. Na webu Azure Portal v Registrace aplikací vyberte svou aplikaci.
2. Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.
3. Přidejte popis tajného kódu klienta.
4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost. Limit je 24 měsíců.
5. Vyberte Přidat.
6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opuštění této stránky se tento tajný kód už nikdy nezobrazí. Hodnota tajného kódu se vyžaduje jako parametr konfigurace pro spuštění datového konektoru BitSight.

Referenční odkaz: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 4 : Přiřazení role Přispěvatel k aplikaci v Microsoft Entra ID

Přiřaďte roli podle kroků v této části:

1. Na webu Azure Portal přejděte do skupiny prostředků a vyberte skupinu prostředků.
2. V levém panelu přejděte na Řízení přístupu (IAM ).
3. Klikněte na Přidat a pak vyberte Přidat přiřazení role.
4. Vyberte Přispěvatel jako roli a klikněte na další.
5. V možnosti Přiřadit přístup vyberte User, group, or service principal.
6. Klikněte na přidat členy a zadejte název aplikace, který jste vytvořili, a vyberte ho.
7. Teď klikněte na Zkontrolovat a přiřadit a pak znovu klikněte na Zkontrolovat a přiřadit.

Referenční odkaz: /azure/role-based-access-control/role-assignments-portal

KROK 5: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru BitSight získáte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a token rozhraní API BitSight.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru BitSight.

1. Klikněte níže na tlačítko Nasadit do Azure .

   

2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

3. Zadejte následující informace:

   • Název funkce
   • ID pracovního prostoru
   • Klíč pracovního prostoru
   • API_token
   • Společnosti
   • Azure_Client_Id
   • Azure_Client_Secret
   • Azure_Tenant_Id
   • Portfolio_Companies_Table_Name
   • Alerts_Table_Name
   • Breaches_Table_Name
   • Company_Table_Name
   • Company_Rating_Details_Table_Name
   • Diligence_Historical_Statistics_Table_Name
   • Diligence_Statistics_Table_Name
   • Findings_Summary_Table_Name
   • Findings_Table_Name
   • Graph_Table_Name
   • Industrial_Statistics_Table_Name
   • Observation_Statistics_Table_Name
   • Úroveň protokolu
   • Plán
   • Schedule_Portfolio

4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor BitSight ručně se službou Azure Functions (nasazení přes Visual Studio Code).

1. Nasazení aplikace funkcí

POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.

1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

5. Podle pokynů na obrazovce zadejte tyto informace:

   a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

   b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

   c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

   d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. BitSightXXXXX).

   e. Vyberte modul runtime: Zvolte Python 3.8 nebo novější.

   f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

2. Konfigurace aplikace funkcí

1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
3. Přidejte jednotlivá nastavení aplikace s příslušnými hodnotami (rozlišují se malá a velká písmena):
   • ID pracovního prostoru
   • Klíč pracovního prostoru
   • API_token
   • Společnosti
   • Azure_Client_Id
   • Azure_Client_Secret
   • Azure_Tenant_Id
   • Portfolio_Companies_Table_Name
   • Alerts_Table_Name
   • Breaches_Table_Name
   • Company_Table_Name
   • Company_Rating_Details_Table_Name
   • Diligence_Historical_Statistics_Table_Name
   • Diligence_Statistics_Table_Name
   • Findings_Summary_Table_Name
   • Findings_Table_Name
   • Graph_Table_Name
   • Industrial_Statistics_Table_Name
   • Observation_Statistics_Table_Name
   • Úroveň protokolu
   • Plán
   • Schedule_Portfolio
4. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.