Microsoft Sentinel 用 Workplace from Facebook (Azure Functions を使用) コネクタ
Workplace データ コネクタでは、Webhook を使用して一般的な Workplace イベントを Microsoft Sentinel に取り込む機能を提供します。 Webhook を使用すると、カスタム統合アプリでは、Workplace 内のイベントを購読し、リアルタイムで更新を受け取ることができます。 Workplace で変更が発生すると、Workplace によって、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタの URL に送信されます。 詳細については、Webhooks ドキュメントを参照してください。 このコネクタは、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを取得する機能を提供します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Workplace_Facebook_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
Workplace イベント - すべてのアクティビティ。
Workplace_Facebook_CL
| sort by TimeGenerated desc
前提条件
Workplace from Facebook (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Webhooks の資格情報/アクセス許可: Webhook で作業するためには、WorkplaceAppSecret、WorkplaceVerifyToken、コールバック URL が必要です。 詳細については、Webhook の構成、アクセス許可の構成のドキュメントを参照してください。
ベンダーのインストール手順
注意
このデータ コネクタでは、ログを含む POST 要求を待機するために HTTP トリガーに基づく Azure Functions を使用して、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure Functions App で Azure Key Vault を使用するには、これらの手順に従います。
Note
このデータ コネクタは、ソリューションの一部としてデプロイされている Kusto 関数に基づくパーサーを利用して正常に動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックし、エイリアス WorkplaceFacebook を検索して関数コードを読み込みます。または、ここをクリックします。クエリの 2 行目に Workplace Facebook デバイスのホスト名と、ログストリームの他の一意の識別子を入力します。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 から 15 分かかります。
手順 1 - Workplace の構成手順
指示に従って Webhook を構成します。
- 管理者ユーザーの資格情報を使用して Workplace にログインします。
- 管理者用パネルで、[統合] を選択します。
- [すべての統合] ビューで、[カスタム統合を作成] をクリックします。
- 名前と説明を入力し、[作成] をクリックします。
- [統合の詳細] パネルで、[アプリ シークレット] を表示してコピーします。
- [統合へのアクセス許可] パネルで、すべての読み取りアクセス許可を設定します。 詳細については、アクセス許可に関するページをご覧ください。
- 次に、手順 2 に進み、(オプション 1 または 2 に記載されている) 手順に従って Azure 関数をデプロイします。
- 要求されたパラメーターを入力し、選択したトークンも入力します。 このトークンをコピーします。後の手順で使用するためメモしておきます。
- Azure Functions のデプロイが正常に完了したら、[関数アプリ] ページを開き、アプリを選択し、[関数] に移動し、[関数の URL の取得] をクリックして、これをコピーします。後の手順で使用するためメモしておきます。
- Workplace from Facebook に戻ります。 各タブの [Webhook の構成] パネルで、[コールバック URL] に上記のポイント 9 でコピーしたものと同じ値を設定し、[検証] トークンに Azure Functions のデプロイの手順 2 で取得し、ポイント 8 でコピーしたものと同じ値を設定します。
- [保存] をクリックします。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure Functions をデプロイする
重要: Workspace データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピーできます)。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。