Connecteur AbnormalSecurity (avec Azure Functions) pour Microsoft Sentinel

Le connecteur de données Abnormal Security permet d’ingérer des journaux de menace et de cas dans Microsoft Sentinel à l’aide de l’API REST Abnormal Security.

Attributs du connecteur

Attribut du connecteur	Description
Paramètres d’application	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (facultatif)(ajoutez tous les autres paramètres requis par l’application de fonction)Définissez la valeur uri sur : <add uri value>
Code d’application de fonction Azure	https://aka.ms/sentinel-abnormalsecurity-functionapp
Table(s) Log Analytics	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
Support des Règles de collecte de données	Non prise en charge pour le moment
Pris en charge par	Abnormal Security

Exemples de requête

Tous les journaux des menaces Abnormal Security

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Tous les journaux de cas Abnormal Security

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer AbnormalSecurity (avec Azure Functions), assurez-vous de disposer des éléments suivants :

• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
• Jeton d’API Abnormal Security : un jeton d’API Abnormal Security est requis. Consultez la documentation pour en savoir plus sur les API Abnormal Security. REMARQUE : Un compte Abnormal Security est requis

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à l’API REST Abnormal Security afin d’extraire les journaux dans Microsoft Sentinel. Il peut en résulter des coûts supplémentaires d’ingestion des données. Pour plus d’informations, consultez la page des tarifs d’Azure Functions.

ÉTAPE 1 - Étapes de configuration pour l’API Abnormal Security

Suivez ces instructions fournies par Abnormal Security pour configurer l’intégration de l’API REST. REMARQUE : Un compte Abnormal Security est requis

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur de données Abnormal Security, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation d’API Abnormal Security, déjà disponibles.

Option 1 – Modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur Abnormal Security à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.

3. Entrez l’ID d’espace de travail Microsoft Sentinel, la Clé partagée Microsoft Sentinel et la Clé d’API REST Abnormal Security.

• L’Intervalle de temps par défaut est défini pour extraire les cinq (5) dernières minutes de données. Si l’intervalle de temps doit être modifié, il est recommandé de modifier le déclencheur du minuteur d’application de fonction en conséquence (dans le fichier function.json, post-déploiement) pour éviter le chevauchement de l’ingestion des données.

4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.
5. Cliquez sur Acheter pour déployer.

Option 2 – Déploiement manuel d’Azure Functions

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Abnormal Security avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

5. Quand vous y êtes invité, indiquez les informations suivantes :

   a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

   b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

   d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, AbnormalSecurityXX).

   e. Sélectionnez un runtime : choisissez Python 3.8.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) : SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (facultatif) (add any other settings required by the Function App) Set the uri value to: <add uri value>

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références d’Azure Key Vault.

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.