Connector „AbnormalSecurity (mit Azure Functions)“ für Microsoft Sentinel

Der AbnormalSecurity-Datenconnector bietet die Möglichkeit, Bedrohungs- und Fallprotokolle mithilfe der AbnormalSecurity-REST-API in Microsoft Sentinel zu erfassen.

Connector-Attribute

Connectorattribut	BESCHREIBUNG
Anwendungseinstellungen	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN „logAnalyticsUri“ (optional) (Fügen Sie jegliche anderen Einstellungen hinzu, die für die Funktions-App erforderlich sind.) Legen Sie den uri-Wert auf <add uri value> fest.
Azure-Funktions-App-Code	https://aka.ms/sentinel-abnormalsecurity-functionapp
Log Analytics-Tabellen	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Abnormal Security

Abfragebeispiele

Alle Abnormal Security-Bedrohungsprotokolle

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Alle Abnormal Security-Fallprotokolle

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in „AbnormalSecurity (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
• Abnormal Security-API-Token: Ein Token der Abnormal Security-API ist erforderlich. Weitere Informationen zur Abnormal Security-API finden Sie in der Dokumentation. Hinweis: Ein Abnormal Security-Konto ist erforderlich.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Functions, um eine Verbindung mit der REST-API von Abnormal Security herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

SCHRITT 1: Konfigurationsschritte für die Abnormal Security-API

Befolgen Sie diese Anweisungen von Abnormal Security, um die REST-API-Integration zu konfigurieren. Hinweis: Ein Abnormal Security-Konto ist erforderlich.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des Abnormal Security-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie das Autorisierungstoken der Abnormal Security-API bereithalten.

Option 1: Azure Resource Manager-Vorlage (ARM)

Diese Methode stellt eine automatisierte Bereitstellung de Abnormal Security-Connectors mithilfe einer ARM-Vorlage bereit.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.

3. Geben Sie die Microsoft Sentinel-Arbeitsbereichs-ID, den gemeinsam verwendeten Microsoft Sentinel-Schlüssel und den Schlüssel der Abnormal Security-REST-API ein.

• Das Standardzeitintervall ist so festgelegt, dass immer die Daten der letzten fünf (5) Minuten abgerufen werden. Wenn das Zeitintervall geändert werden muss, empfiehlt es sich, den Timertrigger der Funktions-App entsprechend zu ändern (in der Datei „function.json“ nach der Bereitstellung), um eine überlappende Datenerfassung zu verhindern.

4. Aktivieren Sie das Kontrollkästchen namens Ich stimme den oben genannten Geschäftsbedingungen zu.
5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittanleitungen, um den Abnormal Security-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

   a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

   d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. „AbnormalSecurityXX“).

   e. Runtime auswählen: Wählen Sie Python 3.8 aus.

   f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): SENTINEL_WORKSPACE_ID, SENTINEL_SHARED_KEY, ABNORMAL_SECURITY_REST_API_TOKEN, logAnalyticsUri (optional) (Fügen Sie jegliche anderen Einstellungen hinzu, die für die Funktions-App erforderlich sind.) Legen Sie den uri-Wert auf <add uri value> fest.

Hinweis: Wenn Sie Azure Key Vault-Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie das @Microsoft.KeyVault(SecretUri={Security Identifier})-Schema anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

• Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Für die öffentliche Cloud beispielsweise lassen Sie den Wert leer. Für die Azure-Cloudumgebung „GovUS“ geben Sie den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us..

4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.