Connecteur Transmit Security (à l’aide d’Azure Functions) pour Microsoft Sentinel
Le connecteur de données Transmit Security offre la possibilité d’ingérer les événements courants de l’API Transmit Security dans Microsoft Sentinel via l’API REST. Pour plus d’informations, consultez la documentation de l’API. Le connecteur permet d’obtenir les événements pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Paramètres d’application | TransmitSecurityClientID TransmitSecurityClientSecret TransmitSecurityAdminActivityEndpoint TransmitSecurityUserActivityEndpoint TransmitSecurityTokenEndpoint WorkspaceID WorkspaceKey logAnalyticsUri (facultatif) |
Code d’application de fonction Azure | https://aka.ms/sentinel-TransmitSecurityAPI-functionapp |
Table(s) Log Analytics | TransmitSecurityAdminActivity_CL TransmitSecurityUserActivity_CL |
Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Transmit Security |
Exemples de requête
TransmitSecurityAdminActivity_CL
| sort by TimeGenerated desc
TransmitSecurityUserActivity_CL
| sort by TimeGenerated desc
Prérequis
Pour effectuer l’intégration à Transmit Security Connector (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- ID client de l’API REST : TransmitSecurityClientID est requis. Consultez la documentation pour en savoir plus sur l’API sur le
https://developer.transmitsecurity.com/
. - Clé secrète client de l’API REST : TransmitSecurityClientSecret est obligatoire. Consultez la documentation pour en savoir plus sur l’API sur le
https://developer.transmitsecurity.com/
.
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à l’API Transmit Security et extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 – Étapes de configuration pour l’API Transmit Security
Suivez les instructions pour obtenir les informations d’identification.
- Connectez-vous au portail Transmit Security.
- Configurez une application de gestion. Donnez à l’application un nom approprié, par exemple MyAzureSentinelCollector.
- Enregistrez les informations d’identification du nouvel utilisateur à utiliser dans le connecteur de données.
ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
Avant de déployer le connecteur de données Transmit Security, assurez-vous d’avoir l’ID et de la clé primaire de l’espace de travail (vous pouvez les copier à partir de ce qui suit).
Option 1 – Modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour un déploiement automatisé du connecteur de données Transmit Security Audit à l’aide d’un modèle ARM.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.
Au sein du même groupe de ressources, vous ne pouvez pas mélanger les applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un nouveau groupe de ressources.
Entrez le TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityUserActivityEndpoint, TransmitSecurityAdminActivityEndpoint et TransmitSecurityTokenEndpoint, et déployez.
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Option 2 - Déploiement manuel de fonctions Azure
Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur de données TransmitSecurity Reports avec Azure Functions (déploiement via Visual Studio Code).
1. Déployer une application de fonction
Vous devrez préparer le code VS pour le développement d’une fonction Azure.
Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.
Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.
Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.
Quand vous y êtes invité, indiquez les informations suivantes :
a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.
b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.
c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).
d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions.
e. Sélectionnez un runtime : choisissez Python 3.8.
f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.
Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.
Accédez au Portail Azure pour la configuration de l’application de fonction.
2. Configurer l’application de fonction
Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis Configuration.
Sélectionnez Variables d’environnement.
Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) :
- TransmitSecurityClientID
- TransmitSecurityClientSecret
- TransmitSecurityAdminActivityEndpoint
- TransmitSecurityUserActivityEndpoint
- TransmitSecurityTokenEndpoint
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (facultatif)
- Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant :
https://<CustomerId>.ods.opinsights.azure.us
.
Une fois tous les paramètres d’application entrés, cliquez sur Appliquer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.