Workplace from Facebook-Connector (über Azure Functions) für Microsoft Sentinel

  • Artikel

Mit dem Datenconnector für Workplace können allgemeine Workplace-Ereignisse über Webhooks in Microsoft Sentinel erfasst werden. Webhooks ermöglichen es benutzerdefinierten Integrations-Apps, Ereignisse in Workplace zu abonnieren und Updates in Echtzeit zu erhalten. Wenn es in Workplace zu einer Änderung kommt, wird eine HTTPS POST-Anforderung mit Ereignisinformationen an eine Datenconnector-URL für Rückrufe gesendet. Weitere Informationen finden Sie in der Dokumentation zu Webhooks. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu untersuchen, die Nutzung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen Workplace_Facebook_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Workplace-Ereignisse: Alle Aktivitäten

Workplace_Facebook_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Workplace from Facebook (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Anmeldeinformationen/Berechtigungen für Webhooks: Für die Verwendung von Webhooks werden „WorkplaceAppSecret“, „WorkplaceVerifyToken“ und Rückruf-URL benötigt. Weitere Informationen zum Konfigurieren von Webhooks bzw. zum Konfigurieren von Berechtigungen finden Sie in der Dokumentation.

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector verwendet Azure Functions – basierend auf dem HTTP-Trigger für wartende POST-Anforderungen mit Protokollen –, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Functions-App zu verwenden.

Hinweis

Damit dieser Datenconnector wie erwartet funktioniert, ist er von einem Parser abhängig, der auf einer Kusto-Funktion basiert, die als Teil der Lösung bereitgestellt wird. Um den Funktionscode in Log Analytics anzuzeigen, öffnen Sie das Blatt „Log Analytics/Microsoft Sentinel Protokolle“, klicken Sie auf „Funktionen“, suchen Sie nach dem Alias „WorkplaceFacebook“ und laden Sie den Funktionscode oder klicken Sie hier. Geben Sie in der zweiten Zeile der Abfrage die Hostnamen Ihrer Workplace Facebook-Geräte und andere eindeutige Bezeichner für den Protokollstream ein. Die Aktivierung der Funktion dauert nach der Installation/Aktualisierung der Lösung in der Regel zehn bis 15 Minuten.

SCHRITT 1: Konfigurationsschritte für Workplace

Konfigurieren Sie Webhooks, wie in der Anleitung beschrieben.

  1. Melden Sie sich bei Workplace mit den Anmeldeinformationen eines Administratorbenutzers an.
  2. Klicken Sie im Administratorbereich die Option Integrations aus.
  3. Klicken Sie in der Ansicht All Integrations auf Create custom integration aus.
  4. Geben Sie einen Namen und eine Beschreibung ein, und klicken Sie dann auf Create.
  5. Zeigen Sie im Bereich Integration details das App-Geheimnis (App secret) an, und kopieren Sie es.
  6. Legen Sie im Bereich Integration permission alle Leseberechtigungen fest. Details dazu finden Sie auf der Berechtigungsseite.
  7. Fahren Sie nun mit SCHRITT 2 fort, um die (unter Option 1 oder 2 aufgeführten) Schritte zum Bereitstellen der Azure-Funktion auszuführen.
  8. Geben Sie die angeforderten Parameter sowie ein Token Ihrer Wahl ein. Kopieren Sie dieses Token für den nächsten Schritt, oder notieren Sie es sich.
  9. Öffnen Sie nach erfolgreicher Bereitstellung von Azure Functions die Seite „Funktions-App“, wählen Sie Ihre App aus, navigieren Sie zu Funktionen, klicken Sie auf Funktions-URL abrufen, und kopieren Sie die URL für den nächsten Schritt, oder notieren Sie sich die URL.
  10. Wechseln Sie zurück zu Workplace from Facebook. Legen Sie im Bereich Webhooks konfigurieren auf jeder Registerkarte den Wert für Rückruf-URL auf den Wert fest, den Sie oben in Punkt 9 kopiert haben, und legen Sie „Token überprüfen“ auf den Wert fest, den Sie oben in Punkt 8 kopiert haben (abgerufen im zweiten Schritt der Azure Functions-Bereitstellung).
  11. Klicken Sie auf Speichern.

SCHRITT 2: Auswählen EINER der folgenden beiden Bereitstellungsoptionen, um den Connector und die zugehörige Azure Functions-Instanz bereitzustellen

WICHTIG: Halten Sie für die Bereitstellung des Workplace-Datenconnectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs bereit (können im Anschluss kopiert werden).

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.