Tenable Vulnerability Management (using Funzioni di Azure) connector for Microsoft Sentinel (Tenable Vulnerability Management) (Uso del connettore Funzioni di Azure) per Microsoft Sentinel
Il connettore dati TVM consente di inserire dati di asset e vulnerabilità in Microsoft Sentinel usando le API REST TVM. Per altre informazioni vedere la documentazione API. Il connettore offre la possibilità di ottenere dati che consentono di esaminare i potenziali rischi per la sicurezza, ottenere informazioni dettagliate sugli asset di calcolo, diagnosticare i problemi di configurazione e altro ancora
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Impostazioni delle applicazioni | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo) |
| Codice dell'app per le funzioni di Azure | https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp |
| Tabelle Log Analytics | Tenable_VM_Assets_CL Tenable_VM_Vuln_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Sostenibile |
Esempi di query
Report macchina virtuale tenable - Tutti gli asset
Tenable_VM_Assets_CL
| sort by TimeGenerated desc
Report macchina virtuale tenable - Tutti i Vulns
Tenable_VM_Vuln_CL
| sort by TimeGenerated desc
Selezionare vulnerabilità univoche in base a un asset specifico.
Tenable_VM_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Selezionare tutti gli asset di Azure.
Tenable_VM_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Prerequisiti
Per eseguire l'integrazione con Tenable Vulnerability Management (usando Funzioni di Azure) assicurarsi di disporre di:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Credenziali/autorizzazioni dell'API REST: per accedere all'API REST tenableAccessKey e TenableSecretKey è necessario disporre di credenziali/autorizzazioni dell'API REST tenable. Per altre informazioni sull'API, vedere la documentazione. Controllare tutti i requisiti e seguire le istruzioni per ottenere le credenziali.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore usa Funzioni permanenti di Azure per connettersi all'API TenableVM per eseguire il pull di asset e vulnerabilità a intervalli regolari in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser TenableVM per individuare le vulnerabilità e un parser TenableVM per gli asset basati su una funzione Kusto per funzionare come previsto, che viene distribuito con la soluzione Microsoft Sentinel.
PASSAGGIO 1 - Passaggi di configurazione per TenableVM
Seguire le istruzioni per ottenere le credenziali API necessarie.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e l'app per le funzioni di Azure associata
Prima di distribuire il connettore dati dell'area di lavoro, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Opzione 1 - Modello di Azure Resource Manager (ARM)
Usare questo metodo per la distribuzione automatica del connettore dati del report di gestione delle vulnerabilità tenableVM usando un modello di Resource Manager.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.
Immettere TenableAccessKey e TenableSecretKey e distribuire.
Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.
Fare clic su Acquista per effettuare la distribuzione.
Opzione 2 - Distribuzione manuale di Funzioni di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati del report sulla gestione delle vulnerabilità tenableVM con Funzioni di Azure (distribuzione tramite Visual Studio Code).
1. Distribuire un'App per le funzioni
Sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.
Scaricare il file App per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.
Avviare VS Code. Scegliere File nel menu principale quindi selezionare Apri cartella.
Selezionare la cartella di primo livello dai file estratti.
Selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non si ha ancora effettuato l'accesso, selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure. Se si ha già effettuato l'accesso, andare al passaggio successivo.
Quando richiesto, immettere le informazioni seguenti:
a. Seleziona cartella: scegliere una cartella dall'area di lavoro o selezionarne una che contenga l'app per le funzioni.
b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.
c. Selezionare Crea nuova App per le funzioni in Azure (non scegliere l'opzione Avanzata)
d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio TenableVMXXXXX).
e. Selezionare un runtime: scegliere Python 3.11.
f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.
La distribuzione avrà inizio. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.
Andare al portale di Azure per la configurazione dell'App per le funzioni.
2. Configurare l'App per le funzioni
Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.
Nella scheda Impostazioni applicazione selezionare Nuova impostazione applicazione.
Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori di stringa (maiuscole/minuscole):
- TenableAccessKey
- TenableSecretKey
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (facoltativo)
- Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente:
https://<WorkspaceID>.ods.opinsights.azure.us.
Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.