Palo Alto Prisma Cloud CSPM (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A Palo Alto Prisma Cloud CSPM-adatösszekötő lehetővé teszi a Prisma Cloud CSPM-riasztások és naplók Microsoft Sentinelbe való betöltését a Prisma Cloud CSPM API használatával. További információért tekintse meg a Prisma Cloud CSPM API dokumentációját .
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Minden Prisma Cloud-riasztás
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Minden Prisma Cloud-naplózási napló
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Előfeltételek
A Palo Alto Prisma Cloud CSPM-sel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- A Palo Alto Prisma Cloud API hitelesítő adatai: Prisma Cloud API URL-címe, Prisma Cloud Access-kulcs azonosítója, Prisma Cloud Secret Key szükséges a Prisma Cloud API-kapcsolathoz. További információ a Prisma Cloud Access-kulcs létrehozásáról és a Prisma Cloud API URL-címének beszerzéséről
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik a Palo Alto Prisma Cloud REST API-hoz a naplók Microsoft sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt PaloAltoPrismaCloudnak megfelelően működik, amelyet a Microsoft sentinel-megoldással helyez üzembe.
1. LÉPÉS – A Prisma-felhő konfigurálása
A dokumentációt követve hozzon létre Prisma Cloud Access-kulcsot , és szerezze be a Prisma Cloud API URL-címét
MEGJEGYZÉS: A Prisma Cloud API-hoz való hozzáférés biztosításához használja a SYSTEM ADMIN szerepkört, mert csak a RENDSZERGAZDA szerepkör tekintheti meg a Prisma cloud auditnaplóit. A rendszergazdai engedélyek további részleteiért tekintse meg a Prisma Cloud Rendszergazda istrator engedélyeit (paloaltonetworks.com).
2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez
FONTOS: A Prisma Cloud-adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a Prisma Cloud API hitelesítő adataival, amelyek könnyen elérhetők.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.