Connecteur TheHive Project – TheHive (à l’aide d’Azure Functions) pour Microsoft Sentinel
Le connecteur de données TheHive offre la possibilité d’ingérer des événements TheHive courants dans Microsoft Sentinel par le biais de webhooks. TheHive peut notifier le système externe des événements de modification (création de cas, mise à jour d’alerte, affectation de tâche) en temps réel. Quand une modification se produit dans TheHive, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet d’obtenir les événements pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | TheHive_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Événements TheHive - Toutes les activités.
TheHive_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer à TheHive Project – TheHive (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations des webhooks : TheHiveBearerToken et l’URL de rappel sont requis pour le fonctionnement des webhooks. Consultez la documentation pour en savoir plus sur la configuration des webhooks.
Instructions d’installation du fournisseur
Notes
Ce connecteur de données utilise Azure Functions basé sur le déclencheur HTTP pour les requêtes POST en attente avec des journaux d’activité pour extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, TheHive, qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Étapes de configuration pour TheHive
Suivez les instructions pour configurer des webhooks.
- La méthode d’authentification est Beared Auth.
- Générez la valeur TheHiveBearerToken en fonction de votre stratégie de mot de passe.
- Configurez les notifications webhook dans le fichier application.conf, y compris le paramètre TheHiveBearerToken.
ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant de déployer le connecteur de données TheHive, assurez-vous d’avoir l’ID et de la clé primaire de l’espace de travail (vous pouvez les copier à partir de ce qui suit).
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.