Connecteur de données Rubrik Security Cloud (à l’aide d’Azure Functions) pour Microsoft Sentinel

Le connecteur de données Rubrik Security Cloud permet aux équipes des opérations de sécurité d’intégrer à Microsoft Sentinel les insights des services d’observabilité des données de Rubrik. Les insights englobent l’identification du comportement anormal du système de fichiers associé aux ransomwares et à la suppression en masse, l’évaluation du rayon d’explosion d’une attaque par ransomware et les opérateurs de données sensibles pour hiérarchiser et examiner plus rapidement les incidents potentiels.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur	Description
Code d’application de fonction Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Table(s) Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Prise en charge des règles de collecte de données	Non prise en charge pour le moment
Pris en charge par	Rubrik

Exemples de requête

Événements Rubrik Anomaly – Événements d’anomalie pour tous les types de gravité.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Événements Rubrik Ransomware Analysis – Événements d’analyse de ransomware pour tous les types de gravité.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Événements Rubrik ThreatHunt : Événements de repérage des menaces pour tous les types de gravité.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Prérequis

Pour l’intégration du connecteur de données Rubrik Security Cloud (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :

• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter au webhook Rubrik, qui envoie (push) ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur de données Rubrik Microsoft Sentinel, ayez à disposition l’ID et la clé primaire de l’espace de travail (valeurs pouvant être copiées à partir des informations ci-après).

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Rubrik.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

3. Entrez les informations ci-dessous : Function Name Workspace ID Workspace Key Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Rubrik Microsoft Sentinel avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

5. Quand vous y êtes invité, indiquez les informations suivantes :

   a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

   b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

   d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, RubrikXXXXX).

   e. Sélectionnez un runtime : choisissez Python 3.8 ou une version ultérieure.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (en respectant la casse) : WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes de post-déploiement

1. Obtenir le point de terminaison de l’application de fonction

1. Accédez à la page Vue d’ensemble de la fonction Azure et cliquez sur l’onglet « Fonctions ».
2. Cliquez sur la fonction nommée « RubrikHttpStarter ».
3. Accédez à « GetFunctionurl » et copiez l’URL de la fonction.

2. Ajoutez un webhook dans RubrikSecurityCloud pour envoyer des données à Microsoft Sentinel.

Suivez les instructions du Guide de l’utilisateur Rubrik pour ajouter un webhook et commencer à recevoir des informations d’événement liées aux anomalies de ransomware.

1. Sélectionnez l’option générique comme fournisseur de webhook (les informations d’événement au format CEF sont utilisées)
2. Entrez la partie URL de l’URL de fonction copiée comme point de terminaison d’URL de webhook, et remplacez {functionname} par « RubrikAnomalyOrchestrator », pour la solution Rubrik Microsoft Sentinel.
3. Sélectionnez l’option Advanced ou Custom Authentication.
4. Entrez x-functions-key comme en-tête HTTP
5. Entrez la clé d’accès de la fonction (valeur du paramètre de code à partir de l’URL de fonction copiée) comme valeur HTTP (Remarque : Si vous modifiez à l’avenir cette clé d’accès de la fonction dans Sentinel, vous devrez mettre à jour cette configuration de webhook).
6. Sélectionnez Anomaly comme EventType.
7. Sélectionnez les niveaux de gravité suivants : Critical (Critique), Warning (Avertissement), Informational (Informationnel)
8. Répétez les mêmes étapes pour ajouter des webhooks pour Ransomware Investigation Analysis et Threat Hunt.

REMARQUE : Lors de l’ajout de webhooks pour Ransomware Investigation Analysis et Threat Hunt, remplacez {functionname} respectivement par « RubrikRansomwareOrchestrator » et « RubrikThreatHuntOrchestrator » dans l’URL de fonction copiée.

Nous avons terminé la configuration du Webhook Rubrik. Une fois les événements du webhook déclenchés, vous devriez voir les événements Anomaly, Ransomware Investigation Analysis, Threat Hunt provenant du connecteur Rubrik, dans la table d’espace de travail LogAnalytics correspondante, nommée « Rubrik_Anomaly_Data_CL », « Rubrik_Ransomware_Data_CL », « Rubrik_ThreatHunt_Data_CL ».

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.