Slack Audit-Connector (über Azure Functions) für Microsoft Sentinel
Der Slack Audit-Datenconnector bietet die Möglichkeit zur Erfassung von Slack Audit Records-Ereignissen über die REST-API in Microsoft Sentinel. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector bietet die Möglichkeit zum Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu untersuchen, die Nutzung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Kusto-Funktionsalias | SlackAudit |
| Kusto-Funktions-URL | https://aka.ms/sentinel-SlackAuditAPI-parser |
| Log Analytics-Tabellen | SlackAudit_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Slack Audit-Ereignisse – Alle Aktivitäten.
SlackAudit
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Slack Audit (über Azure Functions) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- REST-API-Anmeldeinformationen/Berechtigungen: SlackAPIBearerToken ist für die REST-API erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation. Überprüfen Sie alle Anforderungen, und folgen Sie den Anleitungen zum Abrufen von Anmeldeinformationen.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verbindet sich über Azure Functions mit der Slack-REST-API, um deren Protokolle in Microsoft Sentinel zu pullen. Dies könnte zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie diese Schritte aus, um den Kusto-Funktionsalias, SlackAudit, zu erstellen.
SCHRITT 1: Konfigurationsschritte für die Slack-API
Folgen Sie den Anleitungen zum Abrufen der Anmeldeinformationen.
SCHRITT 2: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.
WICHTIG: Vor der Bereitstellung des Slack Audit-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel haben (können aus dem Folgenden kopiert werden).
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.