TheHive Project – TheHive-Connector (über Azure Functions) für Microsoft Sentinel
Der TheHive-Datenconnector bietet die Möglichkeit zum Erfassen von häufigen TheHive-Ereignissen über Webhooks in Microsoft Sentinel. TheHive kann das externe System über Änderungsereignisse (Fallerstellung, Warnungsaktualisierung, Aufgabenzuweisung) in Echtzeit benachrichtigen. Wenn es in TheHive zu einer Änderung kommt, wird eine HTTPS POST-Anforderung mit Ereignisinformationen an eine Rückrufdaten-Connector-URL gesendet. Weitere Informationen finden Sie in der Dokumentation zu Webhooks. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu untersuchen, die Nutzung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | TheHive_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
TheHive-Ereignisse – Alle Aktivitäten.
TheHive_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in TheHive Project – TheHive (über Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Webhooks-Anmeldeinformationen/Berechtigungen: TheHiveBearerToken, Rückruf-URL sind für funktionierende Webhooks erforderlich. Weitere Informationen zum Konfigurieren von Webhooks finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector verwendet Azure Functions – basierend auf dem HTTP-Trigger für wartende POST-Anforderungen mit Protokollen –, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Daten-Connector ist abhängig von einem Parser, der auf einer Kusto-Funktion basiert, damit er als erwartetes TheHive funktioniert, das mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SCHRITT 1: Konfigurationsschritte für TheHive
Folgen Sie den Anleitungen zum Konfigurieren von Webhooks.
- Die Authentifizierungsmethode ist Bearerauthentifizierung.
- Generieren Sie TheHiveBearerToken entsprechend Ihrer Kennwortrichtlinie.
- Richten Sie Webhookbenachrichtigungen in der Datei application.conf ein, einschließlich des Parameters TheHiveBearerToken.
SCHRITT 2: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen.
WICHTIG: Vor der Bereitstellung des TheHive-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Arbeitsbereichs-Primärschlüssel haben (können aus dem Folgenden kopiert werden).
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.