Tenable Vulnerability Management (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A TVM-adatösszekötő lehetővé teszi az eszköz- és biztonságirés-adatok betöltését a Microsoft Sentinelbe TVM REST API-k használatával. További információért tekintse meg az API dokumentációját . Az összekötő lehetővé teszi az adatok lekérését, amely segít megvizsgálni a lehetséges biztonsági kockázatokat, betekintést nyerhet a számítási eszközökbe, diagnosztizálhatja a konfigurációs problémákat stb.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Alkalmazásbeállítások | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező) |
| Azure-függvényalkalmazás kódja | https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp |
| Log Analytics-tábla(ok) | Tenable_VM_Assets_CL Tenable_VM_Vuln_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Tartható |
Példák lekérdezésekre
Tartható virtuálisgép-jelentés – Minden eszköz
Tenable_VM_Assets_CL
| sort by TimeGenerated desc
Tartható virtuálisgép-jelentés – Minden Vulns
Tenable_VM_Vuln_CL
| sort by TimeGenerated desc
Válasszon egyedi biztonsági réseket egy adott objektum alapján.
Tenable_VM_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Válassza ki az összes Azure-objektumot.
Tenable_VM_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Előfeltételek
Ha integrálható a Tenable Sebezhetőség-kezeléssel (az Azure Functions használatával), győződjön meg arról, hogy a következőkkel rendelkezik:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- REST API hitelesítő adatai/engedélyei: A TenableAccessKey és a TenableSecretKey is szükséges a Tenable REST API eléréséhez. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt. Ellenőrizze az összes követelményt, és kövesse a hitelesítő adatok beszerzésére vonatkozó utasításokat .
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Durable Functions használatával csatlakozik a TenableVM API-hoz, hogy rendszeres időközönként lekérje az objektumokat és a biztonsági réseket a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Feljegyzés
Ez az adatösszekötő egy TenableVM-elemzőtől függ a biztonsági rések szempontjából, és egy TenableVM-elemzőtől az objektumokhoz egy Kusto-függvényen alapuló, a Microsoft Sentinel-megoldással üzembe helyezett elvárt módon.
1. LÉPÉS – A TenableVM konfigurációs lépései
Kövesse az utasításokat a szükséges API-hitelesítő adatok beszerzéséhez.
2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvényalkalmazás üzembe helyezéséhez
A munkaterület adatösszekötőjének üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).
1. lehetőség – Azure Resource Manager-sablon (ARM)
Ezzel a módszerrel automatikusan üzembe helyezhető a TenableVM biztonságirés-kezelési jelentés adatösszekötője ARM-sablonnal.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.
Adja meg a TenableAccessKey és a TenableSecretKey elemet, és telepítse.
Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
Kattintson a Vásárlás gombra az üzembe helyezéshez.
2. lehetőség – Az Azure Functions manuális üzembe helyezése
Az alábbi lépésenkénti utasítások segítségével manuálisan helyezheti üzembe a TenableVM sebezhetőségi felügyeleti jelentés adatösszekötőt az Azure Functionsben (üzembe helyezés a Visual Studio Code-on keresztül).
1. Függvényalkalmazás üzembe helyezése
Elő kell készítenie a VS-kódot az Azure-függvények fejlesztéséhez.
Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.
Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.
Válassza ki a legfelső szintű mappát a kibontott fájlokból.
Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.
Amikor a rendszer kéri, adja meg az alábbi információkat:
a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.
b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.
c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)
d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. TenableVMXXXXX).
e. Válasszon futtatókörnyezetet: Válassza a Python 3.11-et.
f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.
Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.
Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.
2. A függvényalkalmazás konfigurálása
A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
Az Alkalmazásbeállítások lapon válassza az Új alkalmazásbeállítás lehetőséget.
Adja hozzá egyenként az alábbi alkalmazásbeállításokat a megfelelő sztringértékekkel (kis- és nagybetűk megkülönböztetése):
- TenableAccessKey
- TenableSecretKey
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (nem kötelező)
- A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban:
https://<WorkspaceID>.ods.opinsights.azure.us.
Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.