Connecteur API Protection pour Microsoft Sentinel
Connecte la protection d’API 42Crunch à Azure Log Analytics via l’interface API REST
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | apifirewall_log_1_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Protection d’API 42Crunch |
Demandes d’API dont le débit était limité
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Demandes d’API générant une erreur de serveur
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Échec de la validation JWT des demandes d’API
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Étape 1 : Lire la documentation détaillée
Le processus d’installation est documenté en détail dans l’intégration de Microsoft Sentinel dans le référentiel GitHub. L’utilisateur doit consulter ce référentiel plus en détail pour comprendre l’installation et le débogage de l’intégration.
Étape 2 : Récupérer les informations d’identification d’accès à l’espace de travail
La première étape de l’installation consiste à récupérer à la fois votre ID d’espace de travail et votre Clé primaire à partir de la plateforme Microsoft Sentinel. Copiez les valeurs indiquées ci-dessous et enregistrez-les pour la configuration de l’intégration du redirecteur de journal d’API.
Étape 3 : Installer la protection 42Crunch et le redirecteur de journal
L’étape suivante consiste à installer la protection 42Crunch et le redirecteur de journal pour protéger votre API. Les deux composants sont disponibles en tant que conteneurs à partir du référentiel 42Crunch. L’installation exacte dépend de votre environnement. Pour plus d’informations, consultez la documentation sur la protection 42Crunch. Deux scénarios d’installation courants sont décrits ci-dessous :
Installation via Docker Compose
La solution peut être installée à l’aide d’un fichier de composition Docker.
Installation via des graphiques Helm
La solution peut être installée à l’aide d’un graphique Helm.
Étape 4 : Tester l’ingestion des données
Pour tester l’ingestion des données, l’utilisateur doit déployer l’exemple d’application httpbin avec la protection 42Crunch et le redirecteur de journal décrits en détail ici.
4.1 Installer l’exemple
L’exemple d’application peut être installé localement en utilisant un fichier Docker Compose qui installe le serveur d’API httpbin, la protection d’API 42Crunch et le redirecteur de journaux Microsoft Sentinel. Définissez les variables d’environnement en fonction des besoins à l’aide des valeurs copiées à l’étape 2.
4.2. Exécution de l'exemple
Vérifiez que la protection d’API est connectée à la plateforme 42Crunch, puis utilisez l’API localement sur le localhost du port 8080 en utilisant cURL ou un outil similaire. Vous devez voir un mélange d’appels d’API réussis et d’échecs.
4.3 Vérifier l’ingestion des données sur Log Analytics
Après environ 20 minutes, accédez à l’espace de travail Log Analytics sur votre installation Microsoft Sentinel, puis recherchez la section Journaux personnalisés pour vérifier qu’il existe une table apifirewall_log_1_CL. Utilisez les exemples de requêtes pour examiner les données.
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.