Connettore di Protezione API per Microsoft Sentinel
Connessione la protezione dell'API 42Crunch in Azure Log Analytics tramite l'interfaccia dell'API REST
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Tabelle di Log Analytics | apifirewall_log_1_CL |
Supporto delle regole di raccolta dati | Non è al momento supportato |
Supportata da: | 42 Protezione APICrunch |
Esempi di query
Richieste API limitate alla frequenza
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Richieste API che generano un errore del server
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Le richieste API hanno esito negativo per la convalida JWT
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Istruzioni di installazione fornitore
Passaggio 1: Leggere la documentazione dettagliata
Il processo di installazione è documentato in modo dettagliato nell'integrazione del repository GitHub di Microsoft Sentinel. L'utente deve consultare ulteriormente questo repository per comprendere l'installazione e il debug dell'integrazione.
Passaggio 2: Recuperare le credenziali di accesso all'area di lavoro
Il primo passaggio di installazione consiste nel recuperare sia l'ID area di lavoro che la chiave primaria dalla piattaforma Sentinel. Copiare i valori mostrati di seguito e salvarli per la configurazione dell'integrazione del server d'inoltro dei log API.
Passaggio 3: Installare la protezione 42Crunch e il server d'inoltro dei log
Il passaggio successivo consiste nell'installare la protezione 42Crunch e il server d'inoltro dei log per proteggere l'API. Entrambi i componenti sono disponibili come contenitori dal repository 42Crunch. L'installazione esatta dipenderà dall'ambiente in uso, consultare la documentazione relativa alla protezione 42Crunch per informazioni dettagliate. Di seguito sono descritti due scenari di installazione comuni:
Installazione tramite Docker Compose
La soluzione può essere installata usando un file docker compose.
Installazione tramite grafici Helm
La soluzione può essere installata usando un grafico Helm.
Passaggio 4: Testare l'inserimento dati
Per testare l'inserimento dei dati, l'utente deve distribuire l'applicazione httpbin di esempio insieme al 42Crunch protection and log forwarder descritto in dettaglio qui.
4.1 Installare l'esempio
L'applicazione di esempio può essere installata in locale usando un file Docker compose che installerà il server API httpbin, la protezione API 42Crunch e il server d'inoltro dei log di Sentinel. Impostare le variabili di ambiente in base alle esigenze usando i valori copiati nel passaggio 2.
4.2 Eseguire l'esempio
Verificare che la protezione API sia connessa alla piattaforma 42Crunch e quindi eseguire l'API localmente in localhost sulla porta 8080 usando Postman, curl o simile. Dovrebbe essere visualizzata una combinazione di chiamate API passate e non riuscite.
4.3 Verificare l'inserimento dei dati in Log Analytics
Dopo circa 20 minuti di accesso all'area di lavoro Log Analytics nell'installazione di Sentinel e individuare la sezione Log personalizzati per verificare che esista una tabella apifirewall_log_1_CL . Usare le query di esempio per esaminare i dati.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per