Connecteur Cohesity (avec Azure Functions) pour Microsoft Sentinel

  • Article

Les applications de fonction Cohesity permettent d’ingérer les alertes de rançongiciel Cohesity Datahawk dans Microsoft Sentinel.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Cohesity
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Cohesity

Exemples de requête

Tous les journaux Cohesity

Cohesity_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer Cohesity (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Chaîne de connexion et nom du conteneur Stockage Blob Azure : chaîne de connexion et nom du conteneur Stockage Blob Azure

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise des Azure Functions qui se connectent au Stockage Blob Azure et à Key Vault. Cela peut entraîner des coûts supplémentaires. Pour plus de détails, consultez les pages Tarification d’Azure Functions, la Tarification du Stockage Blob Azure et la page de tarification d’Azure Key Vault.

(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.

ÉTAPE 1 - Obtenir une clé d’API Cohesity DataHawk (consultez l’instruction 1 de l’article de résolution des problèmes)

ÉTAPE 2 : Inscrire l’application Azure (lien) et enregistrer l’ID d’application (client), l’ID de répertoire (locataire) et la valeur secrète (instructions). Accordez-lui l’autorisation Stockage Azure (user_impersonation). Attribuez également le rôle « Contributeur Microsoft Sentinel » à l’application dans l’abonnement approprié.

ÉTAPE 3 - Déployer le connecteur et la fonction Azure Function associée.

Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Cohesity à l’aide d’un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez les valeurs de votre choix pour Abonnement, Groupe de ressources et Emplacement.

  3. Entrez les paramètres que vous avez créés aux étapes précédentes

  4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  5. Cliquez sur Acheter pour déployer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.