Microsoft Sentinel 用 AbnormalSecurity (Azure Functions を使用) コネクタ
Abnormal Security データ コネクタは、Abnormal Security Rest API を使って脅威とケースのログを Microsoft Sentinel に取り込む機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| アプリケーションの設定 | SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (省略可能) (関数アプリに必要なその他の設定を追加します) uri の値を <add uri value> に設定します |
| Azure 関数アプリのコード | https://aka.ms/sentinel-abnormalsecurity-functionapp |
| Log Analytics テーブル | ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Abnormal Security |
クエリのサンプル
すべての Abnormal Security 脅威ログ
ABNORMAL_THREAT_MESSAGES_CL
| sort by TimeGenerated desc
すべての Abnormal Security ケース ログ
ABNORMAL_CASES_CL
| sort by TimeGenerated desc
前提条件
AbnormalSecurity と統合するには (Azure Functions を使用)、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Abnormal Security API トークン: Abnormal Security API トークンが必要です。 Abnormal Security API について詳しくは、ドキュメントをご覧ください。 注: Abnormal Security アカウントが必要です
ベンダーのインストール手順
注意
このコネクタは、Azure Functions を使って Abnormal Security の REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳しくは、「Azure Functions の価格」ページを確認してください。
ステップ 1 - Abnormal Security API の構成手順
Abnormal Security から提供されているこちらの手順に従って、REST API の統合を構成します。 注: Abnormal Security アカウントが必要です
ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: Abnormal Security データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます)、および Abnormal Security REST API の認可トークンを、すぐに使用できるようにしておいてください。
オプション 1 - Azure Resource Manager (ARM) テンプレート
この方法では、ARM テンプレートを使って Abnormal Security コネクタを自動的にデプロイできます。
下の [Azure へのデプロイ] ボタンをクリックします。
ご希望の [サブスクリプション]、[リソース グループ]、[場所] を選択します。
Microsoft Sentinel ワークスペース ID、Microsoft Sentinel 共有キー、Abnormal Security REST API キーを入力します。
- 既定の [時間間隔] では、最後の 5 分間のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することをお勧めします。
- [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。
- [購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
Azure Functions を使って Abnormal Security データ コネクタを手動でデプロイするには、次の詳細な手順のようにします (Visual Studio Code によるデプロイ)。
1. 関数アプリをデプロイする
注: Azure 関数の開発には VS Code を準備する必要があります。
Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。
展開されたファイルから最上位のフォルダーを選択します。
アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。
プロンプトで、次の情報を入力します。
a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。
b. サブスクリプションの選択: 使用するサブスクリプションを選択します。
c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)
d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: AbnormalSecurityXX)。
e. ランタイムの選択: [Python 3.8] を選びます。
f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。
デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。
関数アプリを構成するために、Azure portal に移動します。
2. 関数アプリを構成する
- 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
- [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
- 次の各アプリケーション設定を、それぞれの文字列値 (大文字と小文字を区別) と共に個別に追加します: SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (省略可能) (関数アプリで必要なその他の設定を追加します)
uriの値を<add uri value>に設定します
注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳しくは、Azure Key Vault のリファレンス ドキュメントをご覧ください。
- 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、
https://<CustomerId>.ods.opinsights.azure.us.の形式で値を指定します。
- すべてのアプリケーション設定を入力したら、[保存] をクリックします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。