Connecteur Vectra XDR (avec Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur XDR Vectra permet d’ingérer des détections, des audits, du scoring d’entités et des données de verrouillage et d’intégrité Vectra dans Microsoft Sentinel via l’API REST Vectra. Pour plus d’informations, consultez la documentation de l’API : https://support.vectra.ai/s/article/KB-VS-1666

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Code d’application de fonction Azure https://aka.ms/sentinel-VectraXDR-functionapp
Alias de fonction Kusto VectraDetections
URL de fonction Kusto https://aka.ms/sentinel-VectraDetections-parser
Table(s) Log Analytics Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Prise en charge de Vectra

Exemples de requête

Événements de détections Vectra : tous les événements de détection.

Detections_Data_CL

| sort by TimeGenerated desc

Événements d’audits Vectra : tous les événements audits.

Audits_Data_CL

| sort by TimeGenerated desc

Événements de scoring d’entités Vectra : tous les événements de scoring d’entité.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Événements de verrouillage Vectra : tous les événements de verrouillage.

Lockdown_Data_CL

| sort by TimeGenerated desc

Événements d’intégrité Vectra : tous les événements d’intégrité.

Health_Data_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer Vectra XDR (avec Azure Functions), assurez-vous de disposer des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification/d’autorisations de l’API REST : l’ID client Vectra et la clé secrète client sont requis pour la collecte de données d’intégrité, de scoring d’entité, de détections, de verrouillage et d’audit. Consultez la documentation pour en savoir plus sur l’API sur le https://support.vectra.ai/s/article/KB-VS-1666.

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à l’API Vectra afin d’extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Notes

Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Suivez ces étapes pour l’analyseur de détections, l’analyseur d’audits, l’analyseur de scoring d’entité, l’analyseur de verrouillage et l’analyseur d’intégrité pour créer l’alias de fonctions Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown et VectraHealth.

ÉTAPE 1 : étapes de configuration des informations d’identification de l’API Vectra

Suivez ces instructions pour créer un ID client Vectra et une clé secrète client.

  1. Connectez-vous à votre portail Vectra
  2. Accédez à Gérer -Clients de l’API >
  3. Dans la page Clients de l’API, sélectionnez « Ajouter un client d’API » pour créer un client.
  4. Ajoutez le nom du client, sélectionnez Rôle, puis cliquez sur Générer des informations d’identification pour obtenir les informations d’identification de votre client.
  5. Veillez à enregistrer votre ID client et votre clé secrète pour les conserver en toute sécurité. Vous aurez besoin de ces deux informations pour obtenir un jeton d’accès à partir de l’API Vectra. Un jeton d’accès est requis pour effectuer des requêtes à tous les points de terminaison de l’API Vectra.

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant le déploiement du connecteur de données Vectra, ayez un ID d’espace de travail et une clé principale de l’espace de travail (peuvent être copiés à partir des éléments suivants) prêts à l’emploi, ainsi que les informations d’identification de l’autorisation d’API Vectra

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur Vectra.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les informations ci–dessous :

    • Nom de la fonction
    • ID de l’espace de travail
    • Clé d'espace de travail
    • URL de base Vectra https://<vectra-portal-url>
    • ID client Vectra – Intégrité
    • Clé secrète client Vectra – Intégrité
    • ID client Vectra – Scoring d’entité
    • Clé secrète client Vectra – Scoring d’entité
    • ID client Vectra – Détections
    • Clé secrète client Vectra – Détections
    • ID client Vectra – Audits
    • Clé secrète client Vectra – Audits
    • ID client Vectra – Verrouillage
    • Clé secrète client Vectra – Verrouillage
    • StartTime (au format MM/JJ/AAAA HH :MM :SS)
    • Nom de la table d’audits
    • Nom de la table de détections
    • Nom de la table de scoring d’entité
    • Nom de la table de verrouillage
    • Nom de la table d’intégrité
    • Niveau du journal (par défaut : INFO)
    • Planification du verrouillage
    • Planification de l’intégrité
    • Planification des détections
    • Planification des audits
    • Planification du scoring d’entité

  4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions pas-à-pas suivantes pour déployer manuellement le connecteur de données Vectra avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

  2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

  3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

  4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

  5. Quand vous y êtes invité, indiquez les informations suivantes :

    a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

    b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

    c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

    d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, VECTRAXXXXX).

    e. Sélectionnez un runtime : choisissez Python 3.8 ou une version ultérieure.

    f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

  6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

  7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

  1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
  2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
  3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (en respectant la casse) :
    • ID de l’espace de travail
    • Clé d'espace de travail
    • URL de base Vectra https://<vectra-portal-url>
    • ID client Vectra – Intégrité
    • Clé secrète client Vectra – Intégrité
    • ID client Vectra – Scoring d’entité
    • Clé secrète client Vectra – Scoring d’entité
    • ID client Vectra – Détections
    • Clé secrète client Vectra – Détections
    • ID client Vectra – Audits
    • Clé secrète client Vectra – Audits
    • ID client Vectra – Verrouillage
    • Clé secrète client Vectra – Verrouillage
    • StartTime (au format MM/JJ/AAAA HH :MM :SS)
    • Nom de la table d’audits
    • Nom de la table de détections
    • Nom de la table de scoring d’entité
    • Nom de la table de verrouillage
    • Nom de la table d’intégrité
    • Niveau du journal (par défaut : INFO)
    • Planification du verrouillage
    • Planification de l’intégrité
    • Planification des détections
    • Planification des audits
    • Planification du scoring d’entité
    • logAnalyticsUri (facultatif)
  • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
  1. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.