Connecteur Cyber Blind Spot Integration (avec Azure Functions) pour Microsoft Sentinel

Article
15/10/2024

Dans l’intégration de l’API, vous avez la possibilité de récupérer tous les problèmes liés à vos organisations CBS via une interface RESTful.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur	Description
Code d’application de fonction Azure	https://raw.githubusercontent.com/CTM360-Integrations/Azure-Sentinel/ctm360-HV-CBS-azurefunctionapp/Solutions/CTM360/Data%20Connectors/CBS/AzureFunctionCTM360_CBS.zip
Table(s) Log Analytics	CBSLog_Azure_1_CL
Support des Règles de collecte de données	Non prise en charge pour le moment
Pris en charge par	Cyber Threat Management 360

Exemples de requête

Tous les journaux d’activité

Kusto

CBSLog_Azure_1_CL 

| take 10

Prérequis

Pour l’intégration à Cyber Blind Spot Integration (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à « CyberBlindSpot » et extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : étapes de configuration de l’API « CyberBlindSpot »

Le fournisseur doit spécifier les étapes détaillées (ou effectuer une liaison) pour configurer le point de terminaison de l’API « CyberBlindSpot » afin que la fonction Azure puisse s’y authentifier correctement, obtenir sa clé ou son jeton d’autorisation et extraire les journaux de l’appliance dans Microsoft Sentinel.

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur « CyberBlindSpot », ayez à disposition l’ID et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que la ou les clés d’autorisation d’API de « CyberBlindSpot ».

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur « CyberBlindSpot ».

Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Saisissez l'ID de l’espace de travail, la Clé de l’espace de travail, l’**API** « et/ou les autres champs obligatoires ».

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.

Option 2 – Déploiement manuel d’Azure Functions

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données CTM360 CBS avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.
Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.
Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.
Quand vous y êtes invité, indiquez les informations suivantes :

a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, CTIXYZ).

e. Sélectionnez un runtime : choisissez Python 3.11.

f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.
Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.
Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) :
CTM360AccountID WorkspaceID WorkspaceKey CTM360Key FUNCTION_NAME logAnalyticsUri : utilisez logAnalyticsUri pour remplacer le point de terminaison d’API d’analytique des journaux d’activité pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.

Ressources supplémentaires

Documentation

Gestion du cycle de vie de bout en bout des solutions déconseillées dans Microsoft Sentinel

Cet article vous guide tout au long du processus d’identification des solutions déconseillées dans Microsoft Sentinel et de la gestion du cycle de vie de ces solutions.
Connecteur Vectra XDR (avec Azure Functions) pour Microsoft Sentinel

Découvrez comment installer le connecteur Vectra XDR (avec Azure Functions) afin de connecter votre source de données à Microsoft Sentinel.

Entrainement

Parcours d’apprentissage

SC-200 : Connecter des journaux à Microsoft Sentinel - Training

SC-200 : Connecter des journaux à Microsoft Sentinel

Certification

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender.

Partager via