Teilen über

API-Schutz-Connector für Microsoft Sentinel

  • Artikel

Verbindet den 42Crunch API-Schutz mit Azure Log Analytics über die REST-API-Schnittstelle

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen apifirewall_log_1_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von 42Crunch API-Schutz

Abfragebeispiele

API-Anforderungen, die ratenbegrenzt waren

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

API-Anforderungen die einen Serverfehler generieren

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

API-Anforderungen mit Fehler bei der JWT-Validierung

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Installationsanweisungen des Anbieters

Schritt 1: Lesen Sie die detaillierte Dokumentation

Der Installationsprozess ist ausführlich in der Microsoft Sentinel-Integration des GitHub-Repositorys dokumentiert. Der Benutzer sollte dieses Repository zu Rate ziehen, um die Installation und das Debuggen der Integration zu verstehen.

Schritt 2: Abrufen der Anmeldeinformationen für den Arbeitsbereichszugriff

Der erste Installationsschritt besteht darin, sowohl Ihre Arbeitsbereichs-ID als auch den Primärschlüssel von der Microsoft Sentinel-Plattform abzurufen. Kopieren Sie die unten gezeigten Werte, und speichern Sie diese für die Konfiguration der API-Protokollweiterleitungsintegration.

Schritt 3: Installieren des 42Crunch-Schutzes und der Protokollweiterleitung

Im nächsten Schritt installieren Sie den 42Crunch-Schutz und die Protokollweiterleitung, um Ihre API zu schützen. Beide Komponenten sind als Container aus dem 42Crunch-Repository verfügbar. Die genaue Installation hängt von Ihrer Umgebung ab. Weitere Informationen finden Sie in der Sicherheitsdokumentation von 42Crunch. Im Folgenden werden zwei gängige Installationsszenarien beschrieben:

Installation über Docker Compose

Die Lösung kann mithilfe einer Docker Compose-Datei installiert werden.

Installation über Helm-Diagramme

Die Lösung kann mithilfe eines Helm-Diagramms installiert werden.

Schritt 4: Testen der Datenerfassung

Um die Datenerfassung zu testen, sollte der Benutzer die httpbin-Beispielanwendung zusammen mit dem hier ausführlich beschriebenen 42Crunch-Schutz und der Protokollweiterleitung bereitstellen.

4.1 Installieren des Beispiels

Die Beispielanwendung kann lokal mithilfe einer Docker Compose-Datei installiert werden, die den httpbin-API-Server, den 42Crunch-API-Schutz und die Microsoft Sentinel-Protokollweiterleitung installiert. Legen Sie die Umgebungsvariablen wie erforderlich fest, indem Sie die aus Schritt 2 kopierten Werte verwenden.

4.2. Ausführen des Beispiels

Überprüfen Sie, ob der API-Schutz mit der 42Crunch-Plattform verbunden ist, und führen Sie die API dann lokal auf dem localhost an Port 8080 mithilfe von cURL oder ähnlichem aus. Es sollte eine Mischung aus erfolgreichen und fehlerhaften API-Aufrufen angezeigt werden.

4.3 Überprüfen der Datenerfassung in Log Analytics

Nach ungefähr 20 Minuten greifen Sie auf den Log Analytics-Arbeitsbereich ihrer Microsoft Sentinel-Installation zu, und suchen Sie im Abschnitt Benutzerdefinierte Protokolle, ob die Tabelle apifirewall_log_1_CL vorhanden ist. Verwenden Sie die Beispielabfragen, um die Daten zu untersuchen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.