Konektor Slack Audit (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor Slack Audit poskytuje možnost ingestovat události Záznamů auditu Slack do Služby Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor poskytuje možnost získat události, které pomáhají zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
atribut Připojení or | Popis |
---|---|
Alias funkce Kusto | SlackAudit |
Adresa URL funkce Kusto | https://aka.ms/sentinel-SlackAuditAPI-parser |
Tabulky Log Analytics | SlackAudit_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Microsoft Corporation |
Ukázky dotazů
Události auditu Slack – všechny aktivity.
SlackAudit
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci se Slack Auditem (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Pro rozhraní REST API se vyžaduje SlackAPIBearerToken . Další informace o rozhraní API najdete v dokumentaci. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní REST API Služby Slack k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Pomocí těchto kroků vytvořte alias funkcí Kusto SlackAudit .
KROK 1 – Kroky konfigurace pro rozhraní Slack API
Podle pokynů získejte přihlašovací údaje.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru Slack Audit mít ID pracovního prostoru a primární klíč pracovního prostoru (lze zkopírovat z následujícího kódu).
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.