Holm Security Asset Data-Connector (mit Azure Functions) für Microsoft Sentinel
Der Connector bietet die Möglichkeit, Daten aus Holm Security Center in Microsoft Sentinel abzufragen.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | net_assets_CL web_assets_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Holm Security |
Abfragebeispiele
Alle als „low“ gekennzeichneten „net_assets“
net_assets_CL
| where severity_s == 'low'
Alle als „low“ gekennzeichneten „web_assets“
web_assets_CL
| where severity_s == 'low'
Voraussetzungen
Stellen Sie für die Integration in Holm Security Asset Data (mit Azure Functions) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Holm Security-API-Token: Ein Holm Security-API-Token ist erforderlich. Holm Security-API-Token
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit Holm Security Assets her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1: Konfigurationsschritte für die Holm Security-API
Befolgen Sie diese Anweisungen, um ein API-Authentifizierungstoken zu erstellen.
SCHRITT 2: Verwenden der folgenden Bereitstellungsoption, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Für die Bereitstellung des Holm Security-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können wie folgt kopiert werden) sowie das Autorisierungstoken der Holm Security-API zur Hand haben.
Bereitstellung per Azure Resource Manager-Vorlage (ARM)
Option 1: Azure Resource Manager-Vorlage (ARM)
Verwenden Sie diese Methode für die automatisierte Bereitstellung des Holm Security-Connectors.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.
Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Benutzernamen, das API-Kennwort sowie ggf. andere erforderliche Informationen ein.
Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema
@Microsoft.KeyVault(SecretUri={Security Identifier})anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault. 4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.