Slack Audit (usando Funzioni di Azure) connettore per Microsoft Sentinel
Il connettore dati di Slack Audit offre la possibilità di inserire gli eventi di Slack Audit Records in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la documentazione dell'API . Il connettore offre la possibilità di ottenere eventi che consentono di esaminare potenziali rischi di sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Alias della funzione Kusto | SlackAudit |
URL della funzione Kusto | https://aka.ms/sentinel-SlackAuditAPI-parser |
Tabelle log Analytics | SlackAudit_CL |
Supporto delle regole di raccolta dati | Attualmente non supportato |
Supportato da | Microsoft Corporation |
Esempi di query
Eventi di controllo Slack - Tutte le attività.
SlackAudit
| sort by TimeGenerated desc
Prerequisiti
Per integrare Slack Audit (usando Funzioni di Azure) assicurarsi di avere:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Credenziali api REST/autorizzazioni: SlackAPIBearerToken è necessario per l'API REST. Per altre informazioni sull'API, vedere la documentazione. Controllare tutti i requisiti e seguire le istruzioni per ottenere le credenziali.
Istruzioni per l'installazione del fornitore
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API REST slack per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Controllare la pagina dei prezzi Funzioni di Azure per informazioni dettagliate.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi di autorizzazione e le chiavi di autorizzazione API in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, SlackAudit
PASSAGGIO 1 - Passaggi di configurazione per l'API Slack
Seguire le istruzioni per ottenere le credenziali.
PASSAGGIO 2: scegliere ONE dalle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: Prima di distribuire il connettore dati di Slack Audit, è possibile copiare l'ID area di lavoro e la chiave primaria dell'area di lavoro .
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.