Connecteur Holm Security Asset Data (avec Azure Functions) pour Microsoft Sentinel
Le connecteur offre la capacité à interroger des données de Holm Security Center dans Microsoft Sentinel.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | net_assets_CL web_assets_CL |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Holm Security |
Exemples de requête
Toutes les ressources réseau faibles
net_assets_CL
| where severity_s == 'low'
Toutes les ressources web faibles
web_assets_CL
| where severity_s == 'low'
Prérequis
Pour une intégration à Holm Security Asset Data (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Jeton d’API Holm Security : le jeton d’API Holm Security est obligatoire. Jeton d’API Holm Security
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à une ressource Holm Security et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 - Étapes de configuration pour l’API Holm Security
Suivez ces instructions pour créer un jeton d’authentification d’API.
ÉTAPE 2 - Utilisez l’option de déploiement ci-dessous pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant de déployer le connecteur de données Holm Security, vous devez disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation d’API Holm Security, déjà disponibles.
Déploiement de modèle Azure Resource Manager (ARM)
Option 1 : modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé du connecteur Holm Security.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.
Entrez l’ID d’espace de travail, la clé d’espace de travail, le nom d’utilisateur d’API et le mot de passe d’API, et/ou renseignez d’autres champs obligatoires.
Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma
@Microsoft.KeyVault(SecretUri={Security Identifier})à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.