Controllo segmento zero reti (funzione) (uso di Funzioni di Azure) connettore per Microsoft Sentinel
Il connettore dati Controllo segmento zero reti offre la possibilità di inserire gli eventi di controllo in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la guida all'API. Il connettore offre la possibilità di ottenere eventi che consentono di esaminare potenziali rischi di sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Impostazioni delle applicazioni | APIToken WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo) Uri tableName |
Codice dell'app per le funzioni di Azure | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/ZeroNetworks/SegmentFunctionConnector/AzureFunction_ZeroNetworks_Segment_Audit.zip |
Tabelle log Analytics | ZNSegmentAudit_CL |
Supporto delle regole di raccolta dati | Attualmente non supportato |
Supportato da | Zero Networks |
Esempi di query
Controllo segmento zero reti - Tutte le attività
ZNSegmentAudit_CL
| sort by TimeGenerated desc
Prerequisiti
Per integrare zero networks segment audit (funzione) (usando Funzioni di Azure) assicurarsi di avere:
- Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
- Credenziali API REST: per l'API REST è necessario un token APIsegmento zero networks. Vedere la Guida all'API.
Istruzioni per l'installazione del fornitore
Nota
Questo connettore usa Funzioni di Azure per connettersi all'API REST Zero Networks per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Controllare la pagina dei prezzi Funzioni di Azure per informazioni dettagliate.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi di autorizzazione e le chiavi di autorizzazione API in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.
PASSAGGIO 1 - Passaggi di configurazione per l'API Zero Networks
Vedere la Guida api per ottenere le credenziali.
PASSAGGIO 2: scegliere ONE dalle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: Prima di distribuire il connettore dati dell'area di lavoro, è possibile copiare l'ID area di lavoro e la chiave primaria dell'area di lavoro .
Opzione 1 - Modello di Azure Resource Manager (ARM)
Usare questo metodo per la distribuzione automatica del connettore dati Controllo segmento zero reti usando un tempate arm.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la posizione.
NOTA: Nello stesso gruppo di risorse non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app Windows in esso o creare un nuovo gruppo di risorse. 3. Immettere l'APIToken e distribuire. 4. Contrassegnare la casella di controllo etichettata accetto i termini e le condizioni indicate sopra. 5. Fare clic su Acquista per distribuire.
Opzione 2 - Distribuzione manuale di Funzioni di Azure
Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Controllo segmento zero reti con Funzioni di Azure (distribuzione tramite Visual Studio Code).
1. Distribuire un'app per le funzioni
NOTA: Sarà necessario preparare il codice VS per lo sviluppo di funzioni di Azure.
Scaricare il file app per le funzioni di Azure . Estrarre l'archivio nel computer di sviluppo locale.
Avviare Visual Studio Code. Scegliere File nel menu principale e selezionare Apri cartella.
Selezionare la cartella di primo livello dai file estratti.
Scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere il pulsante Distribuisci per l'app per le funzioni . Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere Accedi ad Azure Se si è già connessi, passare al passaggio successivo.
Quando richiesto, immettere le informazioni seguenti:
a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una che contiene l'app per le funzioni.
b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.
c. Selezionare Crea nuova app per le funzioni in Azure (Non scegliere l'opzione Avanzate)
d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio, ZNSegmentAuditXXXXX).
e. Selezionare un runtime: Scegliere PowerShell.
f. Selezionare un percorso per le nuove risorse. Per migliorare le prestazioni e ridurre i costi scegliere la stessa area in cui si trova Microsoft Sentinel.
La distribuzione inizierà. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.
Passare al portale di Azure per la configurazione dell'app per le funzioni.
2. Configurare l'app per le funzioni
- Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare Configurazione.
- Nella scheda Impostazioni applicazione selezionare ** Nuova impostazione applicazione**.
- Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): APIToken WorkspaceID WorkspaceID LogAnalyticsUri (facoltativo) tableName URI
- Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud di Azure GovUS, specificare il valore nel formato seguente:
https://<CustomerId>.ods.opinsights.azure.us
. 3. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.