Konektor AbnormalSecurity (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

Konektor data Keamanan Abnormal menyediakan kemampuan untuk menyerap log ancaman dan kasus ke Microsoft Azure Sentinel menggunakan Rest API Keamanan Abnormal.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Pengaturan aplikasi	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opsional)(tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi)Atur nilai ke uri : <add uri value>
Kode aplikasi fungsi Azure	https://aka.ms/sentinel-abnormalsecurity-functionapp
Tabel Log Analytics	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Keamanan Abnormal

Kueri sampel

Semua log Ancaman Keamanan Abnormal

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Semua log Kasus Keamanan Abnormal

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan AbnormalSecurity (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
• Token API Keamanan Abnormal: Token API Keamanan Abnormal diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang API Keamanan Abnormal. Catatan: Akun Keamanan Abnormal diperlukan

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke REST API Keamanan Abnormal untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

LANGKAH 1 - Langkah konfigurasi untuk API Keamanan Abnormal

Ikuti instruksi ini yang disediakan oleh Abnormal Security untuk mengonfigurasi integrasi REST API. Catatan: Akun Keamanan Abnormal diperlukan

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data Keamanan Abnormal, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta Token Otorisasi API Keamanan Abnormal, tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Metode ini menyediakan penyebaran otomatis konektor Keamanan Abnormal menggunakan Templat ARM.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan ID Ruang Kerja Microsoft Azure Sentinel, Kunci Bersama Microsoft Sentinel, dan Kunci REST API Keamanan Abnormal.

• Interval Waktu default diatur untuk menarik lima (5) menit terakhir data. Jika interval waktu perlu dimodifikasi, disarankan untuk mengubah Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.

4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data Keamanan Abnormal secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).

1. Menyebarkan Aplikasi Fungsi

CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.

1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.

2. Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.

3. Pilih folder tingkat atas dari file yang diekstrak.

4. Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.

5. Berikan informasi berikut pada permintaan:

   a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.

   b. Pilih Langganan: Pilih langganan yang akan digunakan.

   c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)

   d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya AbnormalSecurityXX).

   e. Pilih runtime: Pilih Python 3.8.

   f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.

6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

7. Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.

2. Mengonfigurasi Aplikasi Fungsi

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
3. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opsional) (tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi) Atur uri nilai ke: <add uri value>

Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Azure Key Vault untuk detail lebih lanjut.

• Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.

4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.