TheHive Project - Konektor TheHive (menggunakan Azure Functions) untuk Microsoft Sentinel

Artikel
04/29/2024

Konektor data TheHive menyediakan kemampuan untuk menyerap peristiwa TheHive umum ke Microsoft Sentinel melalui Webhook. TheHive dapat memberi tahu sistem eksternal peristiwa modifikasi (pembuatan kasus, pembaruan pemberitahuan, penetapan tugas) secara real time. Ketika perubahan terjadi di TheHive, permintaan HTTPS POST dengan informasi peristiwa dikirim ke URL konektor data panggilan balik. Lihat dokumentasi Webhooks untuk informasi selengkapnya. Konektor menyediakan kemampuan untuk mendapatkan peristiwa yang membantu memeriksa potensi risiko keamanan, menganalisis penggunaan kolaborasi tim Anda, mendiagnosis masalah konfigurasi, dan banyak lagi.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor	Deskripsi
Tabel Log Analytics	TheHive_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Microsoft Corporation

Kueri sampel

Peristiwa TheHive - Semua Aktivitas.

TheHive_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan TheHive Project - TheHive (menggunakan Azure Functions) pastikan Anda memiliki:

Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
Kredensial/izin Webhooks: TheHiveBearerToken, URL Panggilan Balik diperlukan untuk Webhook yang berfungsi. Lihat dokumentasi untuk mempelajari selengkapnya tentang mengonfigurasi Webhook.

Instruksi penginstalan vendor

Catatan

Konektor data ini menggunakan Azure Functions berdasarkan Pemicu HTTP untuk menunggu permintaan POST dengan log untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Catatan

Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan TheHive yang disebarkan dengan Solusi Microsoft Sentinel.

LANGKAH 1 - Langkah konfigurasi untuk TheHive

Ikuti instruksi untuk mengonfigurasi Webhook.

Metode autentikasi adalah Beared Auth.
Buat TheHiveBearerToken sesuai dengan kebijakan kata sandi Anda.
Siapkan pemberitahuan Webhook dalam file application.conf termasuk parameter TheHiveBearerToken .

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data TheHive, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut).

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.