Konektor data Rubrik Security Cloud (menggunakan Azure Functions) untuk Microsoft Sentinel

Konektor data Rubrik Security Cloud memungkinkan tim operasi keamanan untuk mengintegrasikan wawasan dari layanan Observabilitas Data Rubrik ke Microsoft Azure Sentinel. Wawasan tersebut termasuk identifikasi perilaku sistem file anomali yang terkait dengan ransomware dan penghapusan massal, menilai radius ledakan serangan ransomware, dan operator data sensitif untuk memprioritaskan dan menyelidiki potensi insiden dengan lebih cepat.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Kode aplikasi fungsi Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Tabel Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Rubrik

Kueri sampel

Peristiwa Anomali Rubrik - Peristiwa Anomali untuk semua jenis keparahan.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Peristiwa Analisis Ransomware Rubrik - Peristiwa Analisis Ransomware untuk semua jenis keparahan.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Peristiwa Rubrik ThreatHunt - Peristiwa Perburuan Ancaman untuk semua jenis keparahan.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan konektor data Rubrik Security Cloud (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke webhook Rubrik yang mendorong lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data Rubrik Microsoft Sentinel, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut) yang tersedia dengan mudah..

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor Rubrik.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan informasi di bawah ini: Kunci Ruang Kerja ID Ruang Kerja Nama Fungsi Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.

5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data Rubrik Microsoft Sentinel secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).

1. Menyebarkan Aplikasi Fungsi

CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.

1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.

2. Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.

3. Pilih folder tingkat atas dari file yang diekstrak.

4. Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.

5. Berikan informasi berikut pada permintaan:

   a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.

   b. Pilih Langganan: Pilih langganan yang akan digunakan.

   c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)

   d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya RubrikXXXXXX).

   e. Pilih runtime: Pilih Python 3.8 atau lebih tinggi.

   f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.

6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

7. Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.

2. Mengonfigurasi Aplikasi Fungsi

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
3. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai masing-masing (peka huruf besar/kecil): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (opsional)

• Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.

4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah-langkah Pasca Penyebaran

1. Mendapatkan titik akhir aplikasi Fungsi

1. Buka halaman Gambaran Umum fungsi Azure dan Klik tab "Fungsi" .
2. Klik fungsi yang disebut "RubrikHttpStarter".
3. Buka "GetFunctionurl" dan salin url fungsi.

2. Tambahkan webhook di RubrikSecurityCloud untuk mengirim data ke Microsoft Azure Sentinel.

Ikuti petunjuk Panduan Pengguna Rubrik untuk Menambahkan Webhook untuk mulai menerima informasi peristiwa yang terkait dengan Anomali Ransomware

1. Pilih Generik sebagai Penyedia webhook (Ini akan menggunakan informasi peristiwa berformat CEF)
2. Masukkan bagian URL dari url Fungsi yang disalin sebagai titik akhir URL webhook dan ganti {functionname} dengan "RubrikAnomalyOrchestrator", untuk Solusi Rubrik Microsoft Sentinel
3. Pilih opsi Autentikasi Tingkat Lanjut atau Kustom
4. Masukkan x-functions-key sebagai header HTTP
5. Masukkan kunci akses Fungsi (nilai parameter kode dari function-url yang disalin) sebagai nilai HTTP (Catatan: jika Anda mengubah kunci akses fungsi ini di Microsoft Azure Sentinel di masa mendatang, Anda harus memperbarui konfigurasi webhook ini)
6. Pilih EventType sebagai Anomali
7. Pilih tingkat keparahan berikut: Kritis, Peringatan, Informasi
8. Ulangi langkah yang sama untuk menambahkan webhook untuk Analisis Investigasi Ransomware dan Perburuan Ancaman.

CATATAN: saat menambahkan webhook untuk Analisis Investigasi Ransomware dan Perburuan Ancaman, ganti {functionname} dengan "RubrikRansomwareOrchestrator" dan "RubrikThreatHuntOrchestrator" masing-masing dalam url fungsi yang disalin.

Sekarang kita selesai dengan konfigurasi Rubrik Webhook. Setelah peristiwa webhook dipicu , Anda harus dapat melihat peristiwa Anomali, Analisis Investigasi Ransomware, Perburuan Ancaman dari Rubrik ke tabel ruang kerja LogAnalytics masing-masing yang disebut "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.