Slack Audit (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A Slack Audit adatösszekötő lehetővé teszi, hogy a Slack Audit Records-eseményeket a REST API-n keresztül betöltse a Microsoft Sentinelbe. További információért tekintse meg az API dokumentációját . Az összekötő olyan események lekérését teszi lehetővé, amelyek segítenek a lehetséges biztonsági kockázatok vizsgálatában, a csapat együttműködésének elemzésében, a konfigurációs problémák diagnosztizálásában és egyebekben.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Kusto függvény aliasa | SlackAudit |
| Kusto függvény URL-címe | https://aka.ms/sentinel-SlackAuditAPI-parser |
| Log Analytics-tábla(ok) | SlackAudit_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Microsoft Corporation |
Példák lekérdezésekre
Slack-naplózási események – Minden tevékenység.
SlackAudit
| sort by TimeGenerated desc
Előfeltételek
A Slack Audittal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- REST API hitelesítő adatai/engedélyei: A SlackAPIBearerToken szükséges a REST API-hoz. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt. Ellenőrizze az összes követelményt, és kövesse a hitelesítő adatok beszerzésére vonatkozó utasításokat .
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik a Slack REST API-hoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, hogy a várt módon működjön. Kövesse az alábbi lépéseket a Kusto functions alias, SlackAudit létrehozásához
1. LÉPÉS – A Slack API konfigurációs lépései
A hitelesítő adatok beszerzéséhez kövesse az utasításokat .
2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez
FONTOS: A Slack Audit adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: