Compartir a través de


Conector Actividades de Armis (mediante Azure Functions) para Microsoft Sentinel

El conector Actividades de Armis ofrece la capacidad de ingerir actividades de dispositivos en Microsoft Sentinel mediante la API de REST de Armis. Consulte la documentación de la API https://<YourArmisInstance>.armis.com/api/v1/doc para obtener más información. El conector proporciona la capacidad de obtener información de actividad del dispositivo desde la plataforma Armis. Armis usa la infraestructura existente para detectar e identificar dispositivos sin tener que implementar agentes. Armis detecta lo que hacen todos los dispositivos en su entorno y clasifica esas actividades para obtener una imagen completa del comportamiento del dispositivo. Estas actividades se analizan para comprender el comportamiento normal y anómalo del dispositivo y se usan para evaluar el riesgo de los dispositivos y de la red.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Código de la aplicación de funciones de Azure https://aka.ms/sentinel-ArmisActivitiesAPI-functionapp
Tabla de Log Analytics Armis_Activities_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Corporación Armis

Ejemplos de consultas

Eventos de actividad de Armis: todas las actividades.

Armis_Activities_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Actividades de Armis (mediante Azure Functions), asegúrese de tener lo siguiente:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • Credenciales y permisos de la API de REST: se requiere la Clave secreta de Armis. Consulte la documentación para obtener más información sobre la API en https://<YourArmisInstance>.armis.com/api/v1/doc

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a la API de Armis para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

NOTA: este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementa como parte de la solución. Para ver el código de la función en el análisis de registros, abra la hoja Registros de Log Analytics o Microsoft Sentinel, haga clic en Funciones, busque el alias ArmisActivities y cargue el código de la función o haga clic aquí. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

PASO 1: pasos de configuración de la API de Armis

Siga estas instrucciones para crear una clave secreta de API de Armis.

  1. Inicie sesión en la instancia de Armis
  2. Vaya a Configuración: API Management de >
  3. Si aún no se creó la clave secreta, presione el botón Crear para crearla
  4. Para acceder a la clave secreta, presione el botón Mostrar
  5. La clave secreta ya se puede copiar y usar durante la configuración del conector de Actividades de Armis

PASO 2: Seleccione UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: antes de implementar el conector de datos de Actividades de Armis, tenga a mano el id. y la clave principal del área de trabajo (pueden copiarse de lo siguiente), así como las claves de autorización de la API de Armis

Opción 1: Plantilla de Azure Resource Manager (ARM)

Usa este método para la implementación automatizada del conector de Armis.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure Implementar en Azure Gov

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Introduzca la siguiente información:

    • Nombre de la función
    • Id. de área de trabajo
    • Clave del área de trabajo
    • Clave secreta de Armis
    • https://<armis-instance>.armis.com/api/v1/ de la URL de Armis
    • Nombre de la tabla de actividad de Armis
    • Programación de Armis
    • Evitar duplicados (valor predeterminado: false)
  4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  5. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones paso a paso para implementar el conector de datos de Actividades de Armis manualmente con Azure Functions (implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Deberá preparar VS Code para el desarrollo de funciones de Azure.

  1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

  2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

  3. Seleccione la carpeta de nivel superior de los archivos extraídos.

  4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.

  5. Escriba la siguiente información cuando se le indique:

    a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

    b. Seleccionar la suscripción: elija la suscripción que desee usar.

    c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

    d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (Por ejemplo: ARMISXXXXX).

    e. Seleccionar un entorno de ejecución: seleccione Python 3.8 o versiones posteriores.

    f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

  6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

  7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. Configuración de la aplicación de funciones

  1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
  2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
  3. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores (distingue mayúsculas de minúsculas):
    • Id. de área de trabajo
    • Clave del área de trabajo
    • Clave secreta de Armis
    • https://<armis-instance>.armis.com/api/v1/ de la URL de Armis
    • Nombre de la tabla de actividad de Armis
    • Programación de Armis
    • Evitar duplicados (valor predeterminado: false)
    • logAnalyticsUri (opcional)
  • Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us.
  1. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.