Megosztás a következőn keresztül:

Biztonsági összekötő továbbítása (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

Az Átviteli biztonsági adatösszekötő lehetővé teszi a gyakori továbbítási Biztonsági API események betöltését a Microsoft Sentinelbe a REST API-n keresztül. További információért tekintse meg az API dokumentációját. Az összekötő olyan események lekérését teszi lehetővé, amelyek segítenek a lehetséges biztonsági kockázatok vizsgálatában, a csapat együttműködésének elemzésében, a konfigurációs problémák diagnosztizálásában és egyebekben.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Alkalmazásbeállítások TransmitSecurityClientID
TransmitSecurityClientSecret
TransmitSecurityAdminActivityEndpoint
TransmitSecurityUserActivityEndpoint
TransmitSecurityTokenEndpoint
WorkspaceID
WorkspaceKey
logAnalyticsUri (nem kötelező)
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-TransmitSecurityAPI-functionapp
Log Analytics-tábla(ok) TransmitSecurityAdminActivity_CL
TransmitSecurityUserActivity_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Biztonság továbbítása

Példák lekérdezésekre

TransmitSecurityAdminActivity_CL

| sort by TimeGenerated desc

TransmitSecurityUserActivity_CL

| sort by TimeGenerated desc

Előfeltételek

Az Átviteli biztonsági összekötővel való integrációhoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • REST API-ügyfélazonosító: A TransmitSecurityClientID megadása kötelező. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt https://developer.transmitsecurity.com/.
  • REST API-ügyfél titkos kódja: A TransmitSecurityClientSecret szükséges. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt https://developer.transmitsecurity.com/.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Továbbítási Biztonsági API, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A továbbítási Biztonsági API konfigurációs lépései

A hitelesítő adatok beszerzéséhez kövesse az utasításokat.

  1. Jelentkezzen be az Átviteli biztonsági portálra.
  2. Felügyeleti alkalmazás konfigurálása. Adjon meg egy megfelelő nevet az alkalmazásnak, például MyAzureSentinelCollectornak.
  3. Mentse az új felhasználó hitelesítő adatait az adatösszekötőben való használathoz.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

Az Átviteli biztonsági adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a Továbbítási biztonsági audit adatösszekötő egy ARM Tempate használatával.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban Üzembe helyezés az Azure Governmentben

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

    Ugyanabban az erőforráscsoportban nem keverheti a Windows- és Linux-alkalmazásokat ugyanabban a régióban. Válassza ki a meglévő erőforráscsoportot Windows-alkalmazások nélkül, vagy hozzon létre új erőforráscsoportot.

  3. Adja meg a TransmitSecurityClientID, a TransmitSecurityClientSecret, a TransmitSecurityUserActivityEndpoint, a TransmitSecurityAdminActivityEndpoint, a TransmitSecurityTokenEndpoint és az üzembe helyezést.

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezheti üzembe a TransmitSecurity Reports adatösszekötőt az Azure Functionsben (üzembe helyezés a Visual Studio Code-on keresztül).

1. Függvényalkalmazás üzembe helyezése

Elő kell készítenie a VS-kódot az Azure-függvények fejlesztéséhez.

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.

  2. Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.

  3. Válassza ki a legfelső szintű mappát a kibontott fájlokból.

  4. Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.

  5. Amikor a rendszer kéri, adja meg az alábbi információkat:

    a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.

    b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.

    c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)

    d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben.

    e. Válasszon ki egy futtatókörnyezetet: Válassza a Python 3.8-at.

    f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza ki azt a régiót , ahol a Microsoft Sentinel található.

  6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

  7. Lépjen az Azure Portalra a függvényalkalmazás konfigurációjához.

2. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.

  2. Válassza ki a környezeti változókat.

  3. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetése):

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityAdminActivityEndpoint
    • TransmitSecurityUserActivityEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (nem kötelező)
    • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.

  4. Miután megadta az összes alkalmazásbeállítást, kattintson az Alkalmaz gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.