Connector „Bitsight-Datenconnector (über Azure Functions)“ für Microsoft Sentinel
Der BitSight-Datenconnector unterstützt beweisbasierte Cyberrisikoüberwachung, indem BitSight-Daten in Microsoft Sentinel eingebracht werden.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Azure-Funktions-App-Code | https://aka.ms/sentinel-BitSight-functionapp |
| Log Analytics-Tabellen | Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | BitSight-Support |
Abfragebeispiele
BitSight Alert Events – Warnereignis für alle Unternehmen im Portfolio.
Alerts_data_CL
| sort by TimeGenerated desc
BitSight Breaches Events – Sicherheitsverletzungsereignis für alle Unternehmen im Portfolio.
BitsightBreaches_data_CL
| sort by TimeGenerated desc
BitSight Company Details Events – Unternehmensdetailereignis für alle Unternehmen im Portfolio.
BitsightCompany_details_CL
| sort by TimeGenerated desc
BitSight Company Ratings Events – Unternehmensbewertungsereignis für alle Unternehmen.
BitsightCompany_rating_details_CL
| sort by TimeGenerated desc
BitSight Diligence Historical Statistics Events – historisches Statistikereignis im Bereich Sorgfalt für alle Unternehmen.
BitsightDiligence_historical_statistics_CL
| sort by TimeGenerated desc
BitSight Diligence Statistics Events – Statistikereignis im Bereich Sorgfalt für alle Unternehmen.
BitsightDiligence_statistics_CL
| sort by TimeGenerated desc
BitSight Findings Events – Ergebnisereignis für alle Unternehmen.
BitsightFindings_data_CL
| sort by TimeGenerated desc
BitSight Findings Summary Events – Zusammenfassungsereignis der Ergebnisse für alle Unternehmen.
BitsightFindings_summary_CL
| sort by TimeGenerated desc
BitSight Graph Events – Grafikereignis für alle Unternehmen.
BitsightGraph_data_CL
| sort by TimeGenerated desc
BitSight Industrial Statistics Events – Statistikereignis im Bereich Industrie für alle Unternehmen.
BitsightIndustrial_statistics_CL
| sort by TimeGenerated desc
BitSight Observation Statistics Events – Statistikereignis im Bereich Beobachtung für alle Unternehmen.
BitsightObservation_statistics_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in den Bitsight-Datenconnector (über Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/-Berechtigungen: BitSight-API-Token ist erforderlich. Weitere Informationen zum API-Token finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verwendet Azure Functions für die Verbindung mit der BitSight-API, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1 – Schritte zum Erstellen/Abrufen des Bitsight-API-Tokens
Befolgen Sie diese Anweisungen, um ein BitSight-API-Token abzurufen.
- Für SPM-App: Für SPM App: Gehen Sie auf der Registerkarte Benutzereinstellungen Ihrer Kontoseite zu Einstellungen > Konto > Benutzereinstellungen > API-Token.
- Für TPRM-App: Gehen Sie auf der Registerkarte Benutzereinstellungen Ihrer Kontoseite zu Einstellungen > Konto > Benutzereinstellungen > API-Token.
- Für klassisches BitSight: Wechseln Sie zu Ihrer Seite Konto, dann zu Einstellungen > Konto > API-Token.
SCHRITT 2 – App-Registrierungsschritte für die Anwendung in Microsoft Entra ID
Für diese Integration ist eine App-Registrierung im Azure-Portal erforderlich. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:
- Melden Sie sich beim Azure-Portal an.
- Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
- Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.
- Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
- Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
- Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt. Hier werden die Anwendungs-ID (Client) und die Mandanten-ID angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des BitSight-Datenconnectors erforderlich.
Referenzlink:/azure/active-directory/develop/quickstart-register-app
SCHRITT 3 – Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID
Ein geheimer Clientschlüssel wird manchmal auch als Anwendungskennwort bezeichnet, und er ist ein Zeichenfolgenwert, der für die Ausführung des BitSight-Datenconnectors erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:
- Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
- Wählen Sie Zertifikate und Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
- Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
- Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
- Wählen Sie Hinzufügen aus.
- Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des BitSight-Datenconnectors erforderlich.
Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
SCHRITT 4 – Zuweisen der Rolle „Mitwirkender“ zur Anwendung in Microsoft Entra ID
Um die Rolle zuzuweisen, führen Sie die Schritte in diesem Abschnitt aus:
- Wechseln Sie im Azure-Portal zu Ressourcengruppen, und wählen Sie Ihre Ressourcengruppe aus.
- Wechseln Sie im linken Bereich zu Zugriffssteuerung (IAM).
- Klicken Sie auf Hinzufügen, und wählen Sie anschließend Rollenzuweisung hinzufügen aus.
- Wählen Sie Mitwirkenden als Rolle aus, und klicken Sie auf „Weiter“.
- Wählen Sie unter Zugriff zuweisen zu die Option
User, group, or service principalaus. - Klicken Sie auf Mitglieder hinzufügen, geben Sie den von Ihnen erstellten App-Namen ein, und wählen Sie ihn aus.
- Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.
Referenzlink:/azure/role-based-access-control/role-assignments-portal
SCHRITT 5 – Auswählen EINER der beiden folgenden Bereitstellungsoptionen, um den Connector und die zugeordnete Azure-Funktion bereitzustellen
WICHTIG: Bevor Sie den BitSight-Datenkonnektor bereitstellen, sollten Sie die Arbeitsbereichs-ID und den Arbeitsbereich-Primärschlüssel (können aus dem Folgenden kopiert werden) sowie das BitSight-API-Token bereithalten.
Option 1: Azure Resource Manager-Vorlage (ARM)
Verwenden Sie diese Methode für die automatisierte Bereitstellung des BitSight-Connectors.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.
Fügen Sie die folgenden Informationen hinzu:
- Funktionsname
- Arbeitsbereichs-ID
- Arbeitsbereichsschlüssel
- API_token
- Unternehmen
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- Protokoll-Ebene
- Zeitplan
- Schedule_Portfolio
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Option 2: Manuelle Bereitstellung von Azure Functions
Verwenden Sie die folgende Schrittanleitung, um den BitSight-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).
1. Bereitstellen einer Funktions-App
HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.
Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.
Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.
Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.
Geben Sie nach entsprechender Aufforderung Folgendes ein:
a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.
b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.
c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).
d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. BitSightXXXXX).
e. Runtime auswählen: Wählen Sie mindestens „Python 3.8“ aus.
f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.
Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.
Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.
2. Konfigurieren der Funktions-App
- Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
- Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
- Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):
- Arbeitsbereichs-ID
- Arbeitsbereichsschlüssel
- API_token
- Unternehmen
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- Protokoll-Ebene
- Zeitplan
- Schedule_Portfolio
- Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für