Controllo segmento zero reti (funzione) (uso di Funzioni di Azure) connettore per Microsoft Sentinel

  • Articolo

Il connettore dati Controllo segmento zero reti offre la possibilità di inserire gli eventi di controllo in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la guida all'API. Il connettore offre la possibilità di ottenere eventi che consentono di esaminare potenziali rischi di sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.

Attributi del connettore

Attributo del connettore Descrizione
Impostazioni delle applicazioni APIToken
WorkspaceID
WorkspaceKey
logAnalyticsUri (facoltativo)
Uri
tableName
Codice dell'app per le funzioni di Azure https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/ZeroNetworks/SegmentFunctionConnector/AzureFunction_ZeroNetworks_Segment_Audit.zip
Tabelle log Analytics ZNSegmentAudit_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Zero Networks

Esempi di query

Controllo segmento zero reti - Tutte le attività

ZNSegmentAudit_CL

| sort by TimeGenerated desc

Prerequisiti

Per integrare zero networks segment audit (funzione) (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni per l'installazione del fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API REST Zero Networks per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Controllare la pagina dei prezzi Funzioni di Azure per informazioni dettagliate.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi di autorizzazione e le chiavi di autorizzazione API in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API Zero Networks

Vedere la Guida api per ottenere le credenziali.

PASSAGGIO 2: scegliere ONE dalle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: Prima di distribuire il connettore dati dell'area di lavoro, è possibile copiare l'ID area di lavoro e la chiave primaria dell'area di lavoro .

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati Controllo segmento zero reti usando un tempate arm.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuire in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la posizione.

NOTA: Nello stesso gruppo di risorse non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app Windows in esso o creare un nuovo gruppo di risorse. 3. Immettere l'APIToken e distribuire. 4. Contrassegnare la casella di controllo etichettata accetto i termini e le condizioni indicate sopra. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Controllo segmento zero reti con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare il codice VS per lo sviluppo di funzioni di Azure.

  1. Scaricare il file app per le funzioni di Azure . Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare Visual Studio Code. Scegliere File nel menu principale e selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere il pulsante Distribuisci per l'app per le funzioni . Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Funzioni di Azure scegliere Accedi ad Azure Se si è già connessi, passare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una che contiene l'app per le funzioni.

    b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova app per le funzioni in Azure (Non scegliere l'opzione Avanzate)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio, ZNSegmentAuditXXXXX).

    e. Selezionare un runtime: Scegliere PowerShell.

    f. Selezionare un percorso per le nuove risorse. Per migliorare le prestazioni e ridurre i costi scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione inizierà. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare al portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'app per le funzioni

  1. Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare ** Nuova impostazione applicazione**.
  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): APIToken WorkspaceID WorkspaceID LogAnalyticsUri (facoltativo) tableName URI
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud di Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us. 3. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.