Connettore dati Rubrik Security Cloud (con Funzioni di Azure) per Microsoft Sentinel

Il connettore dati Rubrik Security Cloud consente ai team delle operazioni di sicurezza di integrare informazioni dettagliate dai servizi Data Observability di Rubrik in Microsoft Sentinel. Le informazioni dettagliate includono l'identificazione del comportamento anomalo del file system associato a ransomware ed eliminazione di massa, valutare il raggio di esplosione di un attacco ransomware e operatori di dati sensibili per classificare in ordine di priorità e analizzare più rapidamente potenziali incidenti.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or	Descrizione
Codice dell'app per le funzioni di Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Tabelle di Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Supporto delle regole di raccolta dati	Non è al momento supportato
Supportata da:	Rubrik

Esempi di query

Rubrik Anomaly Events - Anomaly Events for all severity types .Rubrik Anomaly Events - Anomaly Events for all severity types.Rubrik Anomaly Events - Anomaly Events for all severity types.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Eventi di analisi ransomware Rubrik - Eventi di analisi ransomware per tutti i tipi di gravità.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Eventi Rubrik ThreatHunt - Eventi di ricerca delle minacce per tutti i tipi di gravità.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Rubrik Security Cloud Data Connector (usando Funzioni di Azure) assicurarsi di disporre di:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi al webhook Rubrik che esegue il push dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

PASSAGGIO 1: scegliere ONE tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati di Rubrik Microsoft Sentinel, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue) immediatamente disponibile.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore Rubrik.

1. Fare clic sul pulsante Distribuisci in Azure sotto.

   

2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

3. Immettere le informazioni seguenti: Chiave dell'area di lavoro id area di lavoro nome funzione Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.

5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Rubrik Microsoft Sentinel con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.

1. Scaricare il file dell'app per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure Se è già stato eseguito l'accesso, andare al passaggio successivo.

5. Quando richiesto, immettere le informazioni seguenti:

   a. Selezionare la cartella: scegliere una cartella dall'area di lavoro o passare a una cartella che contiene l'app per le funzioni.

   b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio RubrikXXXXX).

   e. Selezionare un runtime: scegliere Python 3.8 o versione successiva.

   f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

7. Passare al portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'app per le funzioni

1. Nell'app per le funzioni selezionare Nome app per le funzioni e selezionare Configurazione.
2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori (con distinzione tra maiuscole e minuscole): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (facoltativo)

• Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi post-distribuzione

1. Ottenere l'endpoint dell'app per le funzioni

1. Passare alla pagina Panoramica delle funzioni di Azure e fare clic sulla scheda "Funzioni".
2. Fare clic sulla funzione denominata "RubrikHttpStarter".
3. Passare a "GetFunctionurl" e copiare l'URL della funzione.

2. Aggiungere un webhook in RubrikSecurityCloud per inviare dati a Microsoft Sentinel.

Seguire le istruzioni della Guida per l'utente rubrik per aggiungere un webhook per iniziare a ricevere informazioni sugli eventi correlati a anomalie ransomware

1. Selezionare generico come provider di webhook (verranno usate le informazioni sugli eventi formattati CEF)
2. Immettere la parte URL copiata da Function-URL come endpoint URL webhook e sostituire {functionname} con "RubrikAnomalyOrchestrator" per la soluzione Rubrik Microsoft Sentinel
3. Selezionare l'opzione Autenticazione avanzata o personalizzata
4. Immettere x-functions-key come intestazione HTTP
5. Immettere la chiave di accesso funzione (valore del parametro di codice copiato da function-url) come valore HTTP(Nota: se si modifica questa chiave di accesso alla funzione in Microsoft Sentinel in futuro sarà necessario aggiornare questa configurazione del webhook)
6. Selezionare EventType come anomalia
7. Selezionare i livelli di gravità seguenti: Critico, Avviso, Informativo
8. Ripetere gli stessi passaggi per aggiungere webhook per l'analisi dell'indagine ransomware e la ricerca delle minacce.

NOTA: durante l'aggiunta di webhook per Ransomware Investigation Analysis and Threat Hunt, sostituire {functionname} con "RubrikRansomwareOrchestrator" e "RubrikThreatHuntOrchestrator" rispettivamente in function-url copiato.

A questo scopo, è stata eseguita la configurazione del webhook rubrik. Dopo l'attivazione degli eventi webhook, dovrebbe essere possibile visualizzare l'anomalia, l'analisi dell'indagine ransomware, gli eventi Di ricerca delle minacce dalla tabella rubrik nella rispettiva tabella dell'area di lavoro LogAnalytics denominata "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.