CyberArkAudit (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A CyberArk Audit adatösszekötője lehetővé teszi a CyberArk Audit szolgáltatás biztonsági eseménynaplóinak és további eseményeknek a Microsoft Sentinelbe való lekérését a REST API-n keresztül. Az összekötő olyan események lekérését teszi lehetővé, amelyek segítenek a lehetséges biztonsági kockázatok vizsgálatában, a csapat együttműködésének elemzésében, a konfigurációs problémák diagnosztizálásában és egyebekben.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Alkalmazásbeállítások | CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező) |
| Azure-függvényalkalmazás kódja | https://aka.ms/sentinel-CyberArkAudit-functionapp |
| Log Analytics-tábla(ok) | CyberArk_AuditEvents_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | CyberArk-támogatás |
Példák lekérdezésekre
CyberArk auditesemények – Minden tevékenység.
CyberArkAudit
| sort by TimeGenerated desc
Előfeltételek
A CyberArkAudittal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- A REST API Csatlakozás ions adatainak és hitelesítő adatainak naplózása: Az API-hívásokhoz OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint és AuditApiBaseUrl szükséges.
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik az Azure Blob Storage API-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további költségeket eredményezhet az adatbetöltéshez és az adatok Azure Blob Storage-ban való tárolásához. A részletekért tekintse meg az Azure Functions díjszabási oldalát és az Azure Blob Storage díjszabási oldalát .
Feljegyzés
Az API engedélyezési kulcs(ok) vagy jogkivonatok biztonságosan vannak tárolva az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez.
1. LÉPÉS – A CyberArk Audit SIEM-integráció konfigurációs lépései
Kövesse az utasításokat a kapcsolat részleteinek és hitelesítő adatainak beszerzéséhez.
- Használja a Felhasználónevét és jelszavát a CyberArk Audit-fiókjához.
2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez
FONTOS: A CyberArk Audit adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület nevével és a munkaterület helyével (az alábbiakból másolható).
Munkaterület neve
Munkaterület helye
1. lehetőség – Azure Resource Manager-sablon (ARM)
Ezzel a módszerrel automatikusan üzembe helyezhető a CyberArk Audit adatösszekötő arm-sablonnal.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.
MEGJEGYZÉS: Ugyanabban az erőforráscsoportban nem keverheti a Windows- és Linux-alkalmazásokat ugyanabban a régióban. Válassza ki a meglévő erőforráscsoportot Windows-alkalmazások nélkül, vagy hozzon létre új erőforráscsoportot. 3. Adja meg a CyberArkAuditUsername, a CyberArkAuditPassword, a CyberArkAuditServerURL nevet, és helyezze üzembe. 4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fenti feltételeket és feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.
2. lehetőség – Az Azure Functions manuális üzembe helyezése
A CyberArk Audit adatösszekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functionsben (üzembe helyezés a Visual Studio Code-on keresztül).
1. Függvényalkalmazás üzembe helyezése
MEGJEGYZÉS: VS-kódot kell előkészítenie az Azure-függvények fejlesztéséhez.
Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.
Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.
Válassza ki a legfelső szintű mappát a kibontott fájlokból.
Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.
Amikor a rendszer kéri, adja meg az alábbi információkat:
a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.
b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.
c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)
d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. CyberArkXXXXX).
e. Válasszon ki egy futtatókörnyezetet: Válassza a Python 3.8-at.
f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.
Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.
Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.
2. A függvényalkalmazás konfigurálása
A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
Az Alkalmazásbeállítások lapon válassza az ** Új alkalmazásbeállítás** lehetőséget.
Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetése):
- CyberArkAuditUsername
- CyberArkAuditPassword
- CyberArkAuditServerURL
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (nem kötelező)
A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban:
https://<CustomerId>.ods.opinsights.azure.us.Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: