Connettore MuleSoft Cloudhub (usando Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore dati MuleSoft Cloudhub offre la possibilità di recuperare i log dalle applicazioni Cloudhub usando l'API Cloudhub e altri eventi in Microsoft Sentinel tramite l'API REST. Il connettore offre la possibilità di ottenere eventi che consentono di esaminare potenziali rischi di sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.

Attributi del connettore

Attributo del connettore Descrizione
Impostazioni delle applicazioni MuleSoftEnvId
MuleSoftAppName
MuleSoftUsername
MuleSoftPassword
WorkspaceID
WorkspaceKey
logAnalyticsUri (facoltativo)
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-MuleSoftCloudhubAPI-functionapp
Tabelle log Analytics MuleSoft_Cloudhub_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Microsoft Corporation

Esempi di query

MuleSoft Cloudhub Events - Tutte le attività.

MuleSoft_Cloudhub_CL

| sort by TimeGenerated desc

Prerequisiti

Per integrare MuleSoft Cloudhub (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali api REST/autorizzazioni: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername e MuleSoftPassword sono necessari per effettuare chiamate API.

Istruzioni per l'installazione del fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Archiviazione BLOB di Azure per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati e l'archiviazione dei dati nei costi di Archiviazione BLOB di Azure. Controllare la pagina dei prezzi Funzioni di Azure e Archiviazione BLOB di Azure pagina dei prezzi.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi di autorizzazione e le chiavi di autorizzazione API in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto MuleSoftCloudhub distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Passaggi di configurazione per l'API MuleSoft Cloudhub

Seguire le istruzioni per ottenere le credenziali.

  1. Ottenere MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername e MuleSoftPassword usando la documentazione.
  2. Salvare le credenziali per l'uso nel connettore dati.

PASSAGGIO 2: scegliere ONE dalle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: Prima di distribuire il connettore dati MuleSoft Cloudhub, è possibile copiare l'ID area di lavoro e la chiave primaria dell'area di lavoro .

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati MuleSoft CloudHub usando un tempate arm.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuire in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la posizione.

NOTA: Nello stesso gruppo di risorse non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app Windows in esso o creare un nuovo gruppo di risorse. 3. Immettere MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername e MuleSoftPassword e distribuire. 4. Contrassegnare la casella di controllo etichettata accetto i termini e le condizioni indicate sopra. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati MuleSoft Cloudhub con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare il codice VS per lo sviluppo di funzioni di Azure.

  1. Scaricare il file app per le funzioni di Azure . Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare Visual Studio Code. Scegliere File nel menu principale e selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere il pulsante Distribuisci per l'app per le funzioni . Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere Accedi ad Azure Se si è già connessi, passare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una che contiene l'app per le funzioni.

    b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova app per le funzioni in Azure (Non scegliere l'opzione Avanzate)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio MuleSoftXXXXX).

    e. Selezionare un runtime: Scegliere Python 3.8.

    f. Selezionare un percorso per le nuove risorse. Per migliorare le prestazioni e ridurre i costi scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione inizierà. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare al portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'app per le funzioni

  1. Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare ** Nuova impostazione applicazione**.
  3. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceID WorkspaceKey LogAnalyticsUri (facoltativo)
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud di Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us. 4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.