Connecteur Palo Alto Prisma Cloud CSPM (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données CSPM Cloud Palo Alto Prisma offre la possibilité d’ingérer des alertes CSPM Prisma Cloud et des journaux d’audit dans Microsoft Sentinel à l’aide de l’API CSPM Prisma Cloud. Pour plus d’informations, consultez la documentation de l’API Prisma Cloud CSPM.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Toutes les alertes Prisma Cloud
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Tous les journaux d’audit Prisma Cloud
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Palo Alto Prisma Cloud CSPM (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification de l’API Palo Alto Prisma Cloud : l’URL de l’API Prisma Cloud, l’ID de clé d’accès à Prisma Cloud et la clé secrète Prisma Cloud sont nécessaires pour la connexion à l’API Prisma Cloud. Consultez la documentation pour en savoir plus sur la création de la clé d’accès Prisma Cloud et sur l’obtention de l’URL de l’API Prisma Cloud.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à l’API REST Palo Alto Prisma Cloud pour extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu PaloAltoPrismaCloud qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 : Configuration de Prisma Cloud
Suivez la documentation pour créer une clé d’accès Prisma Cloud et obtenir l’URL de l’API Prisma Cloud
REMARQUE : utilisez le rôle ADMINISTRATEUR SYSTÈME pour donner accès à l’API Prisma Cloud, car seul le rôle ADMINISTRATEUR SYSTÈME est autorisé à afficher les journaux d’audit Prisma Cloud. Pour plus d’informations sur les autorisations d’administrateur de Prisma Cloud (paloaltonetworks.com), consultez Autorisations d’administrateur Prisma Cloud.
ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : avant le déploiement du connecteur de données Prisma Cloud, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants), ainsi que les informations d’identification de l’API Prisma Cloud, facilement disponibles.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.