Connecteur Tenable Vulnerability Management (avec Azure Functions) pour Microsoft Sentinel

Le connecteur de données TVM permet d’ingérer des données de ressource et de vulnérabilité dans Microsoft Sentinel à l’aide des API REST TVM. Pour plus d’informations, consultez la documentation de l’API. Le connecteur offre la possibilité d’obtenir des données qui permettent d’examiner les risques de sécurité potentiels, d’obtenir des informations sur vos ressources informatiques, de diagnostiquer les problèmes de configuration et bien plus encore

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur	Description
Paramètres d’application	TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)
Code d’application de fonction Azure	https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp
Table(s) Log Analytics	Tenable_VM_Assets_CL Tenable_VM_Vuln_CL
Prise en charge des règles de collecte de données	Non prise en charge pour le moment
Pris en charge par	Tenable

Exemples de requête

Rapport Tenable VM - Toutes les ressources

Tenable_VM_Assets_CL

| sort by TimeGenerated desc

Rapport Tenable VM - Toutes les vulnérabilités

Tenable_VM_Vuln_CL

| sort by TimeGenerated desc

Sélectionnez les vulnérabilités uniques d’une ressource spécifique.

Tenable_VM_Vuln_CL

| where asset_fqdn_s has "one.one.one.one"

| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d

Sélectionnez toutes les ressources Azure.

Tenable_VM_Assets_CL

| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)

Prérequis

Pour intégrer Tenable Vulnerability Management (avec Azure Functions), veillez à disposer des éléments suivants :

• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
• Informations d’identification/autorisations de l’API REST : TenableAccessKey et TenableSecretKey sont nécessaires pour accéder à l’API REST Tenable. Consultez la documentation pour en savoir plus sur l’API. Vérifiez toutes les conditions requises et suivez les instructions d’obtention des informations d’identification.

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Durable Functions pour se connecter à l’API TenableVM afin d’extraire les ressources et vulnérabilités à intervalles réguliers dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Remarque

Ce connecteur de données dépend d’un analyseur TenableVM pour les vulnérabilités et d’un analyseur TenableVM pour les ressources basés sur une fonction Kusto et déployés avec la solution Microsoft Sentinel pour fonctionner comme prévu.

ÉTAPE 1 - Étapes de configuration pour TenableVM

Suivez les instructions pour obtenir les informations d’identification requises pour l’API.

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et l’application de fonction Azure associée

Avant de déployer le connecteur de données d’espace de travail, assurez-vous de disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (vous pouvez les copier à partir de ce qui suit).

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données TenableVM Vulnerability Management Report à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement de votre choix.

3. Entrez la TenableAccessKey et la TenableSecretKey, puis procédez au déploiement.

4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données TenableVM Vulnerability Management Report avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

Vous devrez préparer le code VS pour le développement d’une fonction Azure.

1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

5. Quand vous y êtes invité, indiquez les informations suivantes :

   a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

   b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

   d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (Par exemple, TenableVMXXXXX.)

   e. Sélectionnez un temps d'exécution : Choisissez Python 3.11.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis Configuration.

2. Sous l’onglet Paramètres d’application, sélectionnez Nouveau paramètre d’application.

3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) :

   • TenableAccessKey
   • TenableSecretKey
   • WorkspaceID
   • WorkspaceKey
   • logAnalyticsUri (facultatif)
   • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<WorkspaceID>.ods.opinsights.azure.us.

4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.