Microsoft Sentinel 用 Holm Security Asset Data (Azure Functions を使用) コネクタ
このコネクタは、Holm Security Center から Microsoft Sentinel にデータをポーリングする機能を提供します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | net_assets_CL web_assets_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Holm Security |
クエリのサンプル
すべての低ネット資産
net_assets_CL
| where severity_s == 'low'
すべての低 Web 資産
web_assets_CL
| where severity_s == 'low'
前提条件
Holm Security Asset Data (Azure Functions を使用) と統合するには、次があることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Holm Security API トークン: Holm Security API トークンが必要です。 Holm Security API トークン
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Holm Security Assets に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - Holm Security API の構成手順
こちらの手順に従って、API 認証トークンを作成します。
手順 2 - 次のデプロイ オプションを使用して、コネクタと、関連付けられている Azure 関数をデプロイする
重要: Holm Security コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます)、および Holm Security API の認可トークンを、すぐに使用できるようにしておいてください。
Azure Resource Manager (ARM) テンプレートのデプロイ
オプション 1 - Azure Resource Manager (ARM) テンプレート
Holm Security コネクタの自動デプロイには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
ご希望の [サブスクリプション]、[リソース グループ]、[場所] を選択します。
ワークスペース ID、ワークスペース キー、API ユーザー名、API パスワード、またはその他の必須フィールドに入力します。
注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。