Connecteur Box (à l’aide d’Azure Functions) pour Microsoft Sentinel
Le connecteur de données Box permet d’ingérer les événements d’entreprise Box dans Microsoft Sentinel à l’aide de l’API REST Box. Reportez-vous à la documentation Box pour plus d’informations.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | BoxEvents_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Tous les événements Box
BoxEvents
| sort by TimeGenerated desc
Prérequis
Pour intégrer Box (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification de l’API Box : le fichier JSON de configuration Box est requis pour l’authentification JWT de l’API REST Box. Veuillez consulter la documentation si vous souhaitez en savoir plus sur l’authentification JWT.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à l’API REST Box et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, BoxEvents, qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Configuration de la collection d’événements Box
Consultez la documentation pour configurer l’authentification JWT et obtenir un fichier JSON avec des informations d’identification.
ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : avant le déploiement du connecteur de données Box, récupérez l’ID d’espace de travail et la clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants), ainsi que le fichier config JSON Box, déjà disponibles.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.