Connecteur Armis Activities (en utilisant Azure Functions) pour Microsoft Sentinel

Le connecteur Armis Activities offre la possibilité d’ingérer Armis Device Activities dans Microsoft Sentinel via l’API REST Armis. Pour plus d’informations, consultez la documentation de l’API : https://<YourArmisInstance>.armis.com/api/v1/doc Le connecteur offre la possibilité d’obtenir des informations sur les activités d’un appareil à partir de la plateforme Armis. Armis utilise votre infrastructure existante pour découvrir et identifier des appareils en évitant de déployer des agents. Armis détecte ce que font tous les appareils dans votre environnement et classe ces activités pour obtenir une image complète du comportement de l’appareil. Ces activités sont analysées pour comprendre le comportement normal et anormal des appareils et utilisées pour évaluer les risques liés aux appareils et au réseau.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur	Description
Code d’application de fonction Azure	https://aka.ms/sentinel-ArmisActivitiesAPI-functionapp
Table(s) Log Analytics	Armis_Activities_CL
Support des Règles de collecte de données	Non prise en charge pour le moment
Pris en charge par	Armis Corporation

Exemples de requête

Événements Armis Activities – Toutes les activités Activities.

Kusto

Armis_Activities_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer Armis Activities (en utilisant Azure Functions), veillez à disposer des éléments suivants :

• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
• Informations d’identification/autorisations de l’API REST : une Clé secrète Armis est requise. Consultez la documentation pour découvrir des informations sur l’API sur le site https://<YourArmisInstance>.armis.com/api/v1/doc

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à l’API Armis et extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

REMARQUE : Ce connecteur de données dépend, pour fonctionner comme prévu, d’un analyseur basé sur une fonction Kusto et déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias ArmisActivities et chargez le code de la fonction ou cliquez ici. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

ÉTAPE 1 : étapes de configuration de l’API Armis

Suivez ces instructions pour créer une clé secrète d’API Armis.

1. Connectez-vous à votre instance Armis
2. Accédez à Paramètres –> Gestion des API
3. Si la clé secrète n’a pas encore été créée, appuyez sur le bouton Créer pour créer la clé secrète
4. Pour accéder à la clé secrète, appuyez sur le bouton Afficher
5. Vous pouvez désormais copier et utiliser la clé secrète pendant la configuration du connecteur Armis Activities

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant le déploiement du connecteur de données Armis Activities, ayez à disposition l’ID et la clé primaire de l’espace de travail (que vous pouvez copier à partir de ce qui suit), ainsi que la ou les clés d’autorisation de l’API Armis

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Armis.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

3. Entrez les informations ci–dessous :

   • Nom de la fonction
   • ID de l’espace de travail
   • Clé d'espace de travail
   • Clé secrète Armis
   • URL d’Armis https://<armis-instance>.armis.com/api/v1/
   • Nom de la table Armis Activities
   • Planification Armis
   • Éviter les doublons (valeur par défaut : false)

4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Armis Activity avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

5. Quand vous y êtes invité, indiquez les informations suivantes :

   a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

   b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

   d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, ARMISXXXXX).

   e. Sélectionnez un runtime : choisissez Python 3.8 ou une version ultérieure.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (en respectant la casse) :
   • ID de l’espace de travail
   • Clé d'espace de travail
   • Clé secrète Armis
   • URL d’Armis https://<armis-instance>.armis.com/api/v1/
   • Nom de la table Armis Activities
   • Planification Armis
   • Éviter les doublons (valeur par défaut : false)
   • logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.