Tenable Vulnerability Management-Connector (mittels Azure Functions) für Microsoft Sentinel

Der TVM-Datenconnector bietet die Möglichkeit, Ressourcen- und Sicherheitsrisikodaten mithilfe von TVM-REST-APIs in Microsoft Sentinel zu erfassen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Connector ermöglicht das Abrufen von Daten, was unter anderem hilfreich ist, um potenzielle Sicherheitsrisiken zu untersuchen, Einblicke in Ihre Computerressourcen zu gewinnen und Konfigurationsprobleme zu diagnostizieren.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut	BESCHREIBUNG
Anwendungseinstellungen	TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Azure-Funktions-App-Code	https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp
Log Analytics-Tabellen	Tenable_VM_Assets_CL Tenable_VM_Vuln_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Tenable

Abfragebeispiele

Tenable-VM-Bericht: Alle Ressourcen

Tenable_VM_Assets_CL

| sort by TimeGenerated desc

Tenable-VM-Bericht: Alle Sicherheitsrisiken

Tenable_VM_Vuln_CL

| sort by TimeGenerated desc

Auswählen eindeutiger Sicherheitsrisiken nach bestimmter Ressource

Tenable_VM_Vuln_CL

| where asset_fqdn_s has "one.one.one.one"

| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d

Auswählen aller Azure-Ressourcen

Tenable_VM_Assets_CL

| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)

Voraussetzungen

Stellen Sie für die Integration in Tenable Vulnerability Management (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
• Anmeldeinformationen/Berechtigungen für die REST-API: Für den Zugriff auf die Tenable-REST-API sind TenableAccessKey und TenableSecretKey erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation. Überprüfen Sie alle Anforderungen, und folgen Sie den Anleitungen zum Abrufen von Anmeldeinformationen.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Durable Functions, um eine Verbindung mit der TenableVM-API herzustellen und regelmäßiges Pullen von Ressourcen und Sicherheitsrisiken in Microsoft Sentinel zu ermöglichen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Hinweis

Dieser Datenconnector benötigt einen TenableVM-Parser für Sicherheitsrisiken und einen TenableVM-Parser für Ressourcen auf der Basis einer Kusto-Funktion, um erwartungsgemäß zu funktionieren. (Wird zusammen mit der Microsoft Sentinel-Lösung bereitgestellt.)

SCHRITT 1: Konfigurationsschritte für TenableVM

Rufen Sie die erforderlichen API-Anmeldeinformationen ab, wie in der Anleitung beschrieben.

SCHRITT 2: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktions-App bereitzustellen.

Halten Sie für die Bereitstellung des Arbeitsbereichsdatenconnectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs bereit (können im Anschluss kopiert werden).

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des TenableVM Insight Vulnerability Management Report-Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.

3. Geben Sie TenableAccessKey und TenableSecretKey ein, und führen Sie die Bereitstellung durch.

4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den TenableVM Insight Vulnerability Management Report-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code):

1. Bereitstellen einer Funktions-App

Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

   a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

   d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. TenableVMXXXXX).

   e. Wählen Sie eine Runtime aus: Wählen Sie Python 3.11.

   f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

1. Wählen Sie in der Funktions-App den Namen der Funktions-App und dann Konfiguration aus.

2. Wählen Sie auf der Registerkarte AnwendungseinstellungenNeue Anwendungseinstellung aus.

3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):

   • TenableAccessKey
   • TenableSecretKey
   • WorkspaceID
   • WorkspaceKey
   • logAnalyticsUri (optional)
   • Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<WorkspaceID>.ods.opinsights.azure.us.

4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.