Connettore Workplace from Facebook (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore dati Workplace offre la possibilità di inserire eventi di Workplace comuni in Microsoft Sentinel tramite webhook. I webhook consentono alle app di integrazione personalizzate di sottoscrivere eventi in Workplace e ricevere aggiornamenti in tempo reale. Quando si verifica una modifica in Workplace, viene inviata una richiesta HTTPS POST con informazioni sugli eventi a un URL del connettore dati di callback. Per altre informazioni, vedere la documentazione dei webhook. Il connettore consente di ottenere eventi che consentono di esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics Workplace_Facebook_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Eventi dell'area di lavoro : tutte le attività.

Workplace_Facebook_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Workplace da Facebook (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali/autorizzazioni webhook: WorkplaceAppSecret, WorkplaceVerifyToken, URL di callback sono necessari per i webhook funzionanti. Per altre informazioni sulla configurazione dei webhook, sulla configurazione delle autorizzazioni, vedere la documentazione.

Istruzioni di installazione fornitore

Nota

Questo connettore dati usa Funzioni di Azure basato sul trigger HTTP per attendere le richieste POST con i log per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app Funzioni di Azure.

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias WorkplaceFacebook e caricare il codice della funzione oppure fare clic qui nella seconda riga della query, immettere i nomi host dei dispositivi Workplace Facebook e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.

PASSAGGIO 1 - Passaggi di configurazione per l'area di lavoro

Seguire le istruzioni per configurare i webhook.

  1. Accedere all'area di lavoro con le credenziali utente di Amministrazione.
  2. Nel pannello Amministrazione fare clic su Integrazioni.
  3. Nella visualizzazione Tutte le integrazioni fare clic su Crea integrazione personalizzata
  4. Immettere il nome e la descrizione e fare clic su Crea.
  5. Nel pannello Dettagli integrazione mostra il segreto e la copia dell'app.
  6. Nella panoramica Autorizzazioni di integrazione impostare tutte le autorizzazioni di lettura. Per informazioni dettagliate, vedere la pagina delle autorizzazioni.
  7. Procedere ora con il passaggio 2 per seguire i passaggi elencati nell'opzione 1 o 2 per distribuire la funzione di Azure.
  8. Immettere i parametri richiesti e immettere anche un token di scelta. Copiare questo token/annotarlo per il passaggio successivo.
  9. Al termine della distribuzione di Funzioni di Azure, aprire la pagina Dell'app per le funzioni, selezionare l'app, passare a Funzioni, fare clic su Recupera URL funzione e copiare questo/Annotarlo per il passaggio successivo.
  10. Torna a Workplace da Facebook. Nel pannello Configure webhooks (Configura webhook) in ogni URL callback set tabulazioni dello stesso valore copiato nel punto 9 precedente e Verify token (Verifica token) dello stesso valore copiato nel punto 8 precedente, ottenuto durante il PASSAGGIO 2 della distribuzione Funzioni di Azure.
  11. Fare clic su Salva.

PASSAGGIO 2: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e il Funzioni di Azure associato

IMPORTANTE: prima di distribuire il connettore dati workplace, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.