Conector Workplace de Facebook (mediante Azure Functions) para Microsoft Sentinel

El conector de datos de Workplace proporciona la capacidad de ingerir eventos comunes de Workplace en Microsoft Sentinel a través de Webhooks. Los webhooks permiten que las aplicaciones de integración personalizadas se suscriban a eventos en Workplace y reciban actualizaciones en tiempo real. Cuando se produce un cambio en Workplace, se envía una solicitud HTTPS POST con información del evento a una dirección URL del conector de datos de devolución de llamada. Consulte la documentación de Webhooks para más información. El conector permite obtener eventos que ayudan a examinar posibles riesgos de seguridad, analizar el uso de la colaboración por parte de su equipo, diagnosticar problemas de configuración y mucho más.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector	Descripción
Tabla de Log Analytics	Workplace_Facebook_CL
Compatibilidad con reglas de recopilación de datos	No se admite actualmente.
Compatible con	Microsoft Corporation

Ejemplos de consultas

Eventos de Workplace: todas las actividades

Workplace_Facebook_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Workplace de Facebook (mediante Azure Functions), asegúrese de tener:

• Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
• Credenciales o permisos de Webhooks: se requieren WorkplaceAppSecret, WorkplaceVerifyToken y dirección URL de devolución de llamada para trabajar con Webhooks. Consulte la documentación para más información sobre la configuración de Webhooks y la configuración de permisos.

Instrucciones de instalación del proveedor

Nota

Este conector de datos usa Azure Functions basado en el desencadenador HTTP para esperar las solicitudes POST con registros a fin de extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de Azure Functions.

Nota:

Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto, el cual se implementará como parte de la solución. Para ver el código de función en el análisis de registros, abra la hoja Registros de Log Analytics/Microsoft Sentinel, haga clic en Funciones, busque el alias WorkplaceFacebook y cargue el código de la función o haga clic aquí. En la segunda línea de la consulta, escriba los nombres de host de los dispositivos Workplace Facebook y cualquier otro identificador único para el flujo de registro. La función normalmente tardará entre 10 y 15 minutos en activarse después de la instalación o actualización de la solución.

PASO 1: Pasos de configuración para Workplace

Siga las instrucciones para configurar Webhooks.

1. Inicie sesión en Workplace con credenciales de usuario administrador.
2. En el panel Administración, haga clic en Integraciones.
3. En la vista Todas las integraciones, haga clic en Crear integración personalizada.
4. Escriba el nombre y la descripción y haga clic en Crear.
5. En el panel Detalles de integración, muestre el secreto de la aplicación y cópielo.
6. En el panel Permisos de integración, establezca todos los permisos de lectura. Consulte la página de permisos para obtener más información.
7. Ahora continúe con el PASO 2 para seguir los pasos (enumerados en la opción 1 o 2) para implementar Azure Functions.
8. Escriba los parámetros solicitados y también un token de elección. Copie este token o anótelo para utilizarlo en el próximo paso.
9. Una vez que la implementación de Azure Functions se complete correctamente, abra la página Aplicación de funciones, seleccione la aplicación, vaya a Funciones, haga clic en Obtener dirección URL de la función y cópiela o anótela para utilizarla el próximo paso.
10. Vuelva a Workplace from Facebook. En cada pestaña del panel Configuración de webhooks, establezca la dirección URL de devolución de llamada con el mismo valor que copió anteriormente en el punto 9. Compruebe que el token tenga el mismo valor que copió en el punto 8 anterior, que se obtuvo durante el paso 2 de la implementación de Azure Functions.
11. Haga clic en Save(Guardar).

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos del espacio de trabajo, disponga del id. del área de trabajo y de la clave principal del área de trabajo (puede copiarse de lo siguiente).

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.