Connettore Vectra XDR (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore Vectra XDR offre la possibilità di inserire rilevamenti Vectra, controlli, punteggio di entità, blocco e integrità in Microsoft Sentinel tramite l'API REST Vectra. Per altre informazioni, vedere la documentazione https://support.vectra.ai/s/article/KB-VS-1666 dell'API.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-VectraXDR-functionapp
Alias della funzione Kusto VectraDetections
URL della funzione Kusto https://aka.ms/sentinel-VectraDetections-parser
Tabelle di Log Analytics Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Supporto di Vectra

Esempi di query

Eventi di rilevamento di Vectra : tutti gli eventi di rilevamento.

Detections_Data_CL

| sort by TimeGenerated desc

Eventi di controllo Vectra : tutti gli eventi di controllo.

Audits_Data_CL

| sort by TimeGenerated desc

Eventi di assegnazione dei punteggi delle entità Vectra - Tutti gli eventi di assegnazione dei punteggi alle entità.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Eventi di blocco di Vectra : tutti gli eventi di blocco.

Lockdown_Data_CL

| sort by TimeGenerated desc

Eventi di integrità di Vectra : tutti gli eventi di integrità.

Health_Data_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Vectra XDR (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali/autorizzazioni dell'API REST: l'ID client Vectra e il segreto client sono necessari per integrità, punteggio di entità, rilevamenti, blocco e raccolta dei dati di controllo. Vedere la documentazione per altre informazioni sull'API in https://support.vectra.ai/s/article/KB-VS-1666.

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Vectra per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questi passaggi per il parser di rilevamenti, il parser di controllo, il parser di punteggio delle entità, il parser di blocco e il parser di integrità per creare l'alias delle funzioni Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown e VectraHealth.

PASSAGGIO 1 - Passaggi di configurazione per le credenziali dell'API Vectra

Seguire queste istruzioni per creare un ID client Vectra e un segreto client.

  1. Accedere al portale di Vectra
  2. Passare a Gestisci -> Client API
  3. Nella pagina Client API selezionare "Aggiungi client API" per creare un nuovo client.
  4. Aggiungere Nome client, selezionare Ruolo e fare clic su Genera credenziali per ottenere le credenziali client.
  5. Assicurarsi di registrare l'ID client e la chiave privata per garantire la sicurezza. Queste due informazioni saranno necessarie per ottenere un token di accesso dall'API Vectra. È necessario un token di accesso per effettuare richieste a tutti gli endpoint DELL'API Vectra.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati Vectra, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue) immediatamente disponibile. Nonché le credenziali di autorizzazione dell'API Vectra

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore Vectra.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere le informazioni seguenti:

    • Nome funzione
    • ID area di lavoro
    • Chiave dell'area di lavoro
    • Vectra Base URL https://<vectra-portal-url>
    • ID client Vectra - Integrità
    • Chiave privata del client Vectra - Integrità
    • ID client Vectra - Assegnazione dei punteggi delle entità
    • Segreto client Vectra - Assegnazione dei punteggi alle entità
    • ID client Vectra - Rilevamenti
    • Segreto client Vectra - Rilevamenti
    • ID client Vectra - Controlli
    • Segreto client Vectra - Controlli
    • ID client Vectra - Blocco
    • Segreto client Vectra - Blocco
    • StartTime (in FORMATO MM/GG/AAAA HH:MM:SS)
    • Controlla il nome della tabella
    • Nome tabella rilevamenti
    • Entity Scoring Table Name
    • Nome tabella di blocco
    • Nome tabella di integrità
    • Livello di log (impostazione predefinita: INFO)
    • Pianificazione blocco
    • Pianificazione dell'integrità
    • Pianificazione rilevamenti
    • Pianificazioni dei controlli
    • Pianificazione dell'assegnazione dei punteggi alle entità

  4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.

  5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Vectra con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.

  1. Scaricare il file dell'app per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure Se è già stato eseguito l'accesso, andare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Selezionare la cartella: scegliere una cartella dall'area di lavoro o passare a una cartella che contiene l'app per le funzioni.

    b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio, VECTRAXXXXX).

    e. Selezionare un runtime: scegliere Python 3.8 o versione successiva.

    f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. Verrà avviata la distribuzione. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare al portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'app per le funzioni

  1. Nell'app per le funzioni selezionare Nome app per le funzioni e selezionare Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori (distinzione tra maiuscole e minuscole):
    • ID area di lavoro
    • Chiave dell'area di lavoro
    • Vectra Base URL https://<vectra-portal-url>
    • ID client Vectra - Integrità
    • Chiave privata del client Vectra - Integrità
    • ID client Vectra - Assegnazione dei punteggi delle entità
    • Segreto client Vectra - Assegnazione dei punteggi alle entità
    • ID client Vectra - Rilevamenti
    • Segreto client Vectra - Rilevamenti
    • ID client Vectra - Controlli
    • Segreto client Vectra - Controlli
    • ID client Vectra - Blocco
    • Segreto client Vectra - Blocco
    • StartTime (in FORMATO MM/GG/AAAA HH:MM:SS)
    • Controlla il nome della tabella
    • Nome tabella rilevamenti
    • Entity Scoring Table Name
    • Nome tabella di blocco
    • Nome tabella di integrità
    • Livello di log (impostazione predefinita: INFO)
    • Pianificazione blocco
    • Pianificazione dell'integrità
    • Pianificazione rilevamenti
    • Pianificazioni dei controlli
    • Pianificazione dell'assegnazione dei punteggi alle entità
    • logAnalyticsUri (facoltativo)
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.
  1. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.