Connettore Slack Audit (con Funzioni di Azure) per Microsoft Sentinel
Il connettore dati Slack Audit offre la possibilità di inserire eventi dei record di controllo slack in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la documentazione dell'API. Il connettore consente di ottenere eventi che consentono di esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.
Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.
attributi Connessione or
Attributo Connessione or | Descrizione |
---|---|
Alias della funzione Kusto | SlackAudit |
URL della funzione Kusto | https://aka.ms/sentinel-SlackAuditAPI-parser |
Tabelle di Log Analytics | SlackAudit_CL |
Supporto delle regole di raccolta dati | Non è al momento supportato |
Supportata da: | Microsoft Corporation |
Esempi di query
Eventi di controllo slack : tutte le attività.
SlackAudit
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con Slack Audit (usando Funzioni di Azure) assicurarsi di avere:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Credenziali/autorizzazioni dell'API REST: SlackAPIBearerToken è necessario per l'API REST. Per altre informazioni sull'API, vedere la documentazione. Controllare tutti i requisiti e seguire le istruzioni per ottenere le credenziali.
Istruzioni di installazione fornitore
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API REST di Slack per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, SlackAudit
PASSAGGIO 1 - Passaggi di configurazione per l'API Slack
Seguire le istruzioni per ottenere le credenziali.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore dati di Slack Audit, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Passaggi successivi
Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.