Connecteur de l’API WithSecure Elements (fonction Azure) (via Azure Functions) pour Microsoft Sentinel
WithSecure Elements est la plateforme unifiée de cybersécurité basée sur le cloud, conçue pour réduire les risques, la complexité et l’inefficacité.
Élevez le niveau de sécurité de vos points de terminaison à vos applications cloud. Armez-vous contre tous les types de cybermenaces, des attaques ciblées aux ransomwares exploitant une vulnérabilité zero-day.
WithSecure Elements associe de puissantes fonctionnalités de sécurité prédictives, préventives et réactives, le tout faisant l’objet d’une gestion et d’un monitoring via un seul centre de sécurité. Notre structure modulaire et nos modèles tarifaires flexibles vous donnent la liberté d’évoluer. Grâce à notre expertise et nos insights, vous aurez toujours les moyens d’agir, et vous ne serez jamais seul.
Avec l’intégration de Microsoft Sentinel, vous pouvez corréler les données d’événements de sécurité de la solution WithSecure Elements avec des données provenant d’autres sources, pour obtenir une vue d’ensemble étendue de votre environnement, et réagir plus rapidement aux menaces.
Avec cette solution, une fonction Azure est déployée sur votre tenant (locataire), et interroge périodiquement les événements de sécurité de WithSecure Elements.
Pour plus d’informations, visitez notre site web à l’adresse : https://www.withsecure.com.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | WsSecurityEvents_CL (événements WithSecure) |
| Prise en charge des règles de collecte de données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | WithSecure |
Exemples de requête
Tous les journaux d’activité
WsSecurityEvents_CL
| sort by TimeGenerated
Prérequis
Pour effectuer l’intégration à l’API WithSecure Elements (fonction Azure) (via Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification du client de l’API WithSecure Elements : les informations d’identification du client sont obligatoires. Consultez la documentation pour découvrir plus d’informations.
Instructions d’installation du fournisseur
- Créer les informations d’identification de l’API WithSecure Elements
Suivez le guide de l’utilisateur pour créer les informations d’identification de l’API Elements. Conservez les informations d’identification dans un endroit sûr.
- Créer une application Microsoft Entra
Créez une application Microsoft Entra et des informations d’identification. Suivez les instructions, puis stockez les valeurs de l’ID d’annuaire (tenant), de l’ID d’objet, de l’ID d’application (client) et de la clé secrète client (provenant du champ d’informations d’identification du client). N’oubliez pas de conserver la clé secrète client dans un endroit sûr.
- Déployer l’application de fonction
Remarque
Ce connecteur utilise Azure Functions pour extraire les journaux de WithSecure Elements. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez de manière sécurisée les informations d’identification du client Microsoft Entra et les informations d’identification du client de l’API WithSecure Elements dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
IMPORTANT : Avant de déployer le connecteur WithSecure Elements, vérifiez que vous disposez du nom de l’espace de travail (peut être copié à partir de ce qui suit), des données provenant de Microsoft Entra (ID d’annuaire (tenant)), de l’ID d’objet, de l’ID d’application (client) et de la clé secrète client ainsi que des informations d’identification du client WithSecure Elements.
Nom de l’espace de travail
Déployer toutes les ressources liées au connecteur
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez l’ID de l’espace de travail, l’ID de client Entra, la clé secrète client Entra, l’ID de tenant Entra, l’ID client de l’API Elements et la clé secrète client de l’API Elements. Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma
@Microsoft.KeyVault(SecretUri={Security Identifier})à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.Vous pouvez également remplir les champs facultatifs : URL de l’API Elements, Moteur, Groupe de moteurs. Utilisez la valeur par défaut de l’URL de l’API Elements, sauf cas particulier. Le Moteur et le Groupe de moteurs sont mappés aux paramètres de requête des événements de sécurité. Indiquez ces paramètres si vous êtes uniquement intéressé par les événements d’un moteur ou d’un groupe de moteurs spécifique. Au cas où vous souhaiteriez recevoir tous les événements de sécurité, conservez les champs avec leurs valeurs par défaut.
Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
Cliquez sur Acheter pour déployer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour