Conector AbnormalSecurity (mediante Azure Functions) para Microsoft Sentinel
El conector de datos Abnormal Security proporciona la capacidad de ingerir registros de amenazas y casos en Microsoft Sentinel mediante la API REST Abnormal Security.
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Configuración de la aplicación | SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por la aplicación de funciones). Establezca el valor uri en <add uri value> . |
Código de la aplicación de funciones de Azure | https://aka.ms/sentinel-abnormalsecurity-functionapp |
Tabla de Log Analytics | ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL |
Soporte de reglas de recopilación de datos | No se admite actualmente. |
Compatible con | Abnormal Security |
Ejemplos de consultas
Todos los registros de amenazas de Abnormal Security
ABNORMAL_THREAT_MESSAGES_CL
| sort by TimeGenerated desc
Todos los registros de casos de Abnormal Security
ABNORMAL_CASES_CL
| sort by TimeGenerated desc
Requisitos previos
Para realizar la integración con AbnormalSecurity (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Token de la API Abnormal Security: se requiere un token de la API Abnormal Security. Consulte la documentación para más información sobre la API Abnormal Security. Nota: Se requiere una cuenta de Abnormal Security.
Instrucciones de instalación del proveedor
Nota
Este conector usa Azure Functions para conectarse a la API REST de Abnormal Security para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
PASO 1: Pasos de configuración de la API Abnormal Security
Siga estas instrucciones proporcionadas por Abnormal Security para configurar la integración de la API REST. Nota: Se requiere una cuenta de Abnormal Security.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector de datos Abnormal Security, tenga a mano el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de los pasos siguientes), así como el token de autorización de la API Abnormal Security.
Opción 1: Plantilla de Azure Resource Manager (ARM)
Este método proporciona una implementación automatizada del conector Abnormal Security mediante una plantilla de ARM.
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.
Escriba el identificador del área de trabajo de Microsoft Sentinel, la clave compartida de Microsoft Sentinel y la clave de API REST Abnormal Security.
- El intervalo de tiempo predeterminado se establece para extraer los últimos cinco (5) minutos de datos. Si es necesario modificar el intervalo de tiempo, se recomienda cambiar el desencadenador de temporizador de la aplicación de funciones en consecuencia (en el archivo function.json, después de la implementación) para evitar la ingesta de datos superpuesta.
- Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.
- Haga clic en Comprar para iniciar la implementación.
Opción 2: Implementación manual de Azure Functions
Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos Abnormal Security con Azure Functions (implementación mediante Visual Studio Code).
1. Implementación de una aplicación de funciones
NOTA: Deberá preparar VS Code para el desarrollo de funciones de Azure.
Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.
Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.
Seleccione la carpeta de nivel superior de los archivos extraídos.
Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.
Escriba la siguiente información cuando se le indique:
a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.
b. Seleccionar la suscripción: elija la suscripción que desee usar.
c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)
d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, AbnormalSecurityXX).
e. Seleccionar un entorno de ejecución: Elija Python 3.11.
f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.
Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.
Vaya a Azure Portal para la configuración de la aplicación de funciones.
2. Configuración de la aplicación de funciones
- En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
- En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
- Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por la aplicación de funciones). Establezca el valor
uri
en<add uri value>
.
Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema
@Microsoft.KeyVault(SecretUri={Security Identifier})
en lugar de los valores de cadena. Para más información, consulte la documentación de referencias de Azure Key Vault.
- Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el formato siguiente:
https://<CustomerId>.ods.opinsights.azure.us.
- Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.