Conector HYAS Protect (mediante Azure Functions) para Microsoft Sentinel

HYAS Protect proporciona registros basados en valores de reputación: Bloqueado, Malintencionado, Permitido, Sospechoso.

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector	Descripción
Código de la aplicación de funciones de Azure	https://aka.ms/sentinel-HYASProtect-functionapp
Tabla de Log Analytics	HYASProtectDnsSecurityLogs_CL
Compatibilidad con reglas de recopilación de datos	No se admite actualmente.
Compatible con	HYAS

Ejemplos de consultas

Todos los registros

HYASProtectDnsSecurityLogs_CL

Requisitos previos

Para realizar la integración con HYAS Protect (mediante Azure Functions), asegúrese de que tiene:

• Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
• Credenciales y permisos de la API de REST: se requiere clave de API DE HYAS para realizar llamadas API.

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a la API de HYAS para extraer registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales para la ingesta de datos y para almacenar datos en Azure Blob Storage. Consulte la página de precios de Azure Functions y la página de precios de Azure Blob Storage para más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos HYAS Protect mediante una plantilla ARM.

1. Haga clic en el botón Implementar en Azure que aparece a continuación.

   

2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

3. Introduzca el Nombre de la función, Nombre de la tabla, ID del espacio de trabajo, Clave del espacio de trabajo, Clave de la API, Intervalo de tiempo, Obtener dominios bloqueados, Obtener dominios maliciosos, Obtener dominios sospechosos, Obtener dominios permitidos e implementación.

4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

5. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos de registros de HYAS Protect con Azure Functions (implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Deberá preparar VS Code para el desarrollo de funciones de Azure.

1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.

5. Escriba la siguiente información cuando se le indique:

   a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

   b. Seleccionar la suscripción: elija la suscripción que desee usar.

   c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

   d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, HyasProtectLogsXXX).

   e. Seleccionar un entorno de ejecución: elija Python 3.8.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. Configuración de la aplicación de funciones

1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
3. Agregue cada una de las siguientes opciones de configuración de aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas): APIKey Polling WorkspaceID WorkspaceKey . Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.