Conector de datos Rubrik Security Cloud (mediante Azure Functions) para Microsoft Sentinel

El conector de datos Rubrik Security Cloud permite a los equipos de operaciones de seguridad integrar información de los servicios de observabilidad de datos de Rubrik en Microsoft Sentinel. La información incluye la identificación del comportamiento anómalo del sistema de archivos asociado con ransomware y eliminación masiva, la evaluación del radio de explosión de un ataque ransomware, y operadores de datos confidenciales para priorizar e investigar posibles incidentes más rápidamente.

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector	Descripción
Código de la aplicación de funciones de Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Tabla de Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Compatibilidad con reglas de recopilación de datos	No se admite actualmente.
Compatible con	Rubrik

Ejemplos de consultas

Eventos de anomalías de Rubrik: eventos de anomalías para todos los tipos de gravedad.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Eventos de análisis de ransomware de Rubrik: eventos de ransomware de Rubrik para todos los tipos de gravedad.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Eventos ThreatHunt de Rubrik: eventos de búsqueda de amenazas para todos los tipos de gravedad.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con el conector de datos Rubrik Security Cloud (mediante Azure Functions), asegúrese de que tiene lo siguiente:

• Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse al webhook de Rubrik que inserta sus registros en Microsoft Sentinel. Esto podría generar costes adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Seleccione UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos de Rubik y Microsoft Sentinel, tenga a la mano el id. de área de trabajo y la clave principal del área de trabajo (se puede copiar desde lo siguiente).

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector Rubrik.

1. Haga clic en el botón Implementar en Azure que aparece a continuación.

   

2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

3. Escriba la información siguiente: Function Name Workspace ID Workspace Key Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel.

4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

5. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones paso a paso para implementar el conector de datos de Microsoft Sentinel para Rubrik manualmente con Azure Functions (implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Deberá preparar VS Code para el desarrollo de funciones de Azure.

1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.

5. Escriba la siguiente información cuando se le indique:

   a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

   b. Seleccionar la suscripción: elija la suscripción que desee usar.

   c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

   d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, RubrikXXXXX).

   e. Seleccionar un entorno de ejecución: seleccione Python 3.8 o versiones posteriores.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. Configuración de la aplicación de funciones

1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
3. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores (distingue mayúsculas de minúsculas): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (opcional).

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us.

4. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos posteriores a la implementación

1. Obtención del punto de conexión de la aplicación de funciones

1. Vaya a la página de información general de la función de Azure y haga clic en la pestaña "Funciones".
2. Haga clic en la función denominada "RubrikHttpStarter".
3. Vaya a "GetFunctionurl" y copie la dirección URL de la función.

2. Agregue un webhook en RubrikSecurityCloud para enviar datos a Microsoft Sentinel.

Siga las instrucciones de la guía del usuario de Rubrik para agregar un webhook para empezar a recibir información de eventos relacionada con anomalías de ransomware.

1. Seleccione el valor Genérico como proveedor de webhook (Esto usará la información de eventos con formato CEF)
2. Escriba la parte de la URL de la función copiada como punto de conexión de la dirección URL del webhook y reemplace {functionname} por "RubrikAnomalyOrchestrator" para la solución de Microsoft Sentinel para Rubrik.
3. Seleccione la opción Autenticación avanzada o Autenticación personalizada.
4. Escriba x-functions-key como encabezado HTTP
5. Escriba la clave de acceso de la función (el valor del parámetro de código de la URL de la función copiada) como valor HTTP. (Nota: Si cambia esta clave de acceso de función en Microsoft Sentinel en el futuro, deberá actualizar esta configuración de webhook).
6. Seleccione Anomaly para EventType.
7. Seleccione los niveles de gravedad siguientes: Crítico, Advertencia, Informativo
8. Repita los mismos pasos para agregar webhooks para Ransomware Investigation Analysis y Threat Hunt.

NOTA: Al agregar webhooks para Ransomware Investigation Analysis y Threat Hunt, reemplace {functionname} por "RubrikRansomwareOrchestrator" y "RubrikThreatHuntOrchestrator" respectivamente en la dirección URL de la función copiada.

Ahora ya hemos terminado con la configuración de webhook de Rubrik. Una vez desencadenados los eventos de webhook, debería poder ver los eventos Anomaly, Ransomware Investigation Analysis y Threat Hunt de Rubrik en las tablas respectivas del área de trabajo de LogAnalytics denominadas "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.