Report di gestione delle vulnerabilità di Rapid7 Insight Platform (tramite Funzioni di Azure) per Microsoft Sentinel
Il connettore dei dati dei report delle macchine virtuali di Informazioni dettagliate rapide7 offre la possibilità di inserire report di analisi e dati di vulnerabilità in Microsoft Sentinel tramite l'API REST dalla piattaforma Rapid7 Insight (gestita nel cloud). Per altre informazioni, vedere la documentazione dell'API . Il connettore offre la possibilità di ottenere eventi che consentono di esaminare potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Impostazioni delle applicazioni | InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo) |
Tabelle di Log Analytics | NexposeInsightVMCloud_assets_CL NexposeInsightVMCloud_vulnerabilities_CL |
Supporto delle regole di raccolta dati | Attualmente non supportato |
Supportato da | Microsoft Corporation |
Esempi di query
Eventi report macchina virtuale informazioni dettagliate - Informazioni sugli asset
NexposeInsightVMCloud_assets_CL
| sort by TimeGenerated desc
Eventi report macchina virtuale informazioni dettagliate - Informazioni sulle vulnerabilità
NexposeInsightVMCloud_vulnerabilities_CL
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con i report di gestione delle vulnerabilità di Rapid7 Insight Platform (usando Funzioni di Azure) assicurarsi di disporre di:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Credenziali API REST: InsightVMAPIKey è necessario per l'API REST. Per altre informazioni sull'API, vedere la documentazione. Controllare tutti i requisiti e seguire le istruzioni per ottenere le credenziali
Istruzioni di installazione fornitore
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API della macchina virtuale Insight per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.
(Passaggio facoltativo) Archiviare in modo sicuro l'area di lavoro e le chiavi di autorizzazione API o i token in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto InsightVMAssets e InsightVMVulnerabilities che viene distribuito con la soluzione Microsoft Sentinel.
PASSAGGIO 1- Passaggi di configurazione per il cloud di macchine virtuali Insight
Seguire le istruzioni per ottenere le credenziali.
PASSAGGIO 2: scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: Prima di distribuire il connettore dati dell'area di lavoro, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Opzione 1 - Modello di Azure Resource Manager (ARM)
Usare questo metodo per la distribuzione automatica del connettore dei dati del report sulla gestione delle vulnerabilità di Rapid7 Insight usando un modello ARM.
Fare clic sul pulsante Distribuisci in Azure di seguito.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.
NOTA: All'interno dello stesso gruppo di risorse non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app di Windows o creare un nuovo gruppo di risorse. 3. Immettere InsightVMAPIKey, scegliere InsightVMCloudRegion e distribuire. 4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza. 5. Fare clic su Acquista per distribuire.
Opzione 2 - Distribuzione manuale di Funzioni di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dei dati del report sulla gestione delle vulnerabilità di Rapid7 Insight con Funzioni di Azure (distribuzione tramite Visual Studio Code).
1. Distribuire un'app per le funzioni
NOTA: Sarà necessario preparare il file di VS Code . Estrarre l'archivio nel computer di sviluppo locale. 2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella. 3. Selezionare la cartella di primo livello dai file estratti. 4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni . Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra delle attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure Se si è già connessi, passare al passaggio successivo. 5. Specificare le informazioni seguenti alle richieste:
Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una che contiene l'app per le funzioni.
Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.
Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)
Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio, InsightVMXXXXX).
Selezionare un runtime: Scegliere Python 3.8.
Selezionare una posizione per le nuove risorse. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.
Verrà avviata la distribuzione. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.
Passare al portale di Azure per la configurazione dell'app per le funzioni.
2. Configurare l'app per le funzioni
Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare Configurazione.
Nella scheda Impostazioni applicazione selezionare ** Nuova impostazione applicazione**.
Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole):
InsightVMAPIKey
InsightVMCloudRegion
WorkspaceID
WorkspaceKey
logAnalyticsUri
(facoltativo)
- Usare logAnalyticsUri per eseguire l'override dell'endpoint api di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente:
https://<CustomerId>.ods.opinsights.azure.us
. 3. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata nel Azure Marketplace.