Microsoft Sentinel용 Security Cloud 데이터 커넥터(Azure Functions 사용) 커넥터

Rubrik Security Cloud 데이터 커넥터를 사용하면 보안 운영 팀이 Rubrik의 데이터 가시성 서비스의 인사이트를 Microsoft Sentinel에 통합할 수 있습니다. 인사이트에는 랜섬웨어 및 대량 삭제와 관련된 비정상적인 파일 시스템 동작 식별, 랜섬웨어 공격의 폭발 반경 평가, 중요한 데이터 운영자가 우선 순위를 지정하고 잠재적 인시던트를 보다 신속하게 조사하는 것이 포함됩니다.

자동 생성된 콘텐츠입니다. 변경하려면 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성	설명
Azure Function 앱 코드	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics 테이블	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
데이터 수집 규칙 지원	현재 지원되지 않음
다음에서 지원	Rubrik

쿼리 샘플

Rubrik Anomaly 이벤트 - 모든 심각도 형식에 대한 변칙 이벤트입니다.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik 랜섬웨어 분석 이벤트 - 모든 심각도 유형에 대한 랜섬웨어 분석 이벤트입니다.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik ThreatHunt 이벤트 - 모든 심각도 유형에 대한 위협 헌팅 이벤트입니다.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

필수 조건

Rubrik Security Cloud 데이터 커넥터(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.

• Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 로그를 Microsoft Sentinel에 푸시하는 Rubrik 웹후크에 연결합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure Function 배포

중요: Rubrik Microsoft Sentinel 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 바로 사용할 수 있도록 합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

Rubrik 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

1. 아래에서 Azure에 배포 단추를 클릭합니다.

   

2. 선호하는 구독, 리소스 그룹 및 위치를 선택합니다.

3. 아래 정보를 입력합니다. 함수 이름 작업 영역 ID 작업 영역 키 Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code를 통한 배포)를 통해 Rubrik Microsoft Sentinel 데이터 커넥터를 수동으로 배포합니다.

1. 함수 앱 배포

참고: Azure 함수 개발을 하기 위해서는 VS Code를 준비해야 합니다.

1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발용 컴퓨터에 보관 파일을 추출합니다.

2. VS Code를 시작합니다. 메인 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

3. 추출된 파일에서 최상위 폴더를 선택합니다.

4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: Functions 영역에서 함수 앱에 배포 버튼을 선택합니다. 아직 로그인하지 않은 경우 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: Functions 영역에서 Azure에 로그인을 선택합니다. 이미 로그인되어 있는 경우 다음 단계로 이동합니다.

5. 프롬프트에서 다음 정보를 제공합니다.

   a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱을 포함하는 폴더를 찾습니다.

   b. 구독 선택: 사용할 구독을 선택합니다.

   c. Azure에서 새 함수 앱 만들기를 선택합니다(고급 옵션은 선택하지 않음)

   d. 함수 앱에 대해 전역적으로 고유 이름을 입력합니다. URL 경로에 유효한 이름을 입력합니다. 입력한 이름이 Azure Functions에서 고유한지 확인하기 위해 유효성을 검사합니다. (예: RubrikXXXXX).

   e. 런타임 선택: Python 3.8 이상을 선택합니다.

   f. 새 리소스의 위치 선택 성능 향상 및 비용 절감을 위해 Microsoft Sentinel이 있는 곳과 동일한 영역을 선택합니다.

6. 배포가 시작됩니다. 함수 앱을 만들고 배포 패키지가 적용되면 알림이 표시됩니다.

7. 함수 앱 구성을 위해 Azure Portal로 이동합니다.

2. 함수 앱 구성

1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
3. 각 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri(선택 사항)

• logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어, 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 https://<CustomerId>.ods.opinsights.azure.us 형식으로 값을 지정합니다.

4. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.

배포 후 단계

1. 함수 앱 엔드포인트 가져오기

1. Azure Function 개요 페이지로 이동하고 "Functions" 탭을 클릭합니다.
2. "RubrikHttpStarter"라는 함수를 클릭합니다.
3. "GetFunctionurl"로 이동하고 함수 URL을 복사합니다.

2. RubrikSecurityCloud에 웹후크를 추가하여 Microsoft Sentinel로 데이터를 보냅니다.

Rubrik 사용자 가이드 지침에 따라 웹후크를 추가하여 랜섬웨어 이상과 관련된 이벤트 정보 수신을 시작합니다.

1. 제네릭을 웹후크 공급자로 선택합니다(CEF 형식의 이벤트 정보를 사용합니다).
2. 복사한 Function-url의 URL 부분을 웹후크 URL 엔드포인트로 입력하고 Rubrik Microsoft Sentinel 솔루션의 경우, {functionname}을 "RubrikAnomalyOrchestrator"로 바꿉니다.
3. 고급 또는 사용자 지정 인증 옵션 선택
4. HTTP 헤더로 x-functions-key 입력
5. 함수 액세스 키(복사한 function-url의 코드 매개 변수 값)를 HTTP 값으로 입력합니다(참고: 나중에 Microsoft Sentinel에서 이 함수 액세스 키를 변경하면 이 웹후크 구성을 업데이트해야 합니다).
6. EventType을 변칙으로 선택
7. 심각도 수준(위험, 경고, 정보) 선택
8. 동일한 단계를 반복하여 랜섬웨어 조사 분석 및 위협 헌팅에 대한 웹후크를 추가합니다.

참고: 랜섬웨어 조사 분석 및 위협 사냥에 대한 웹후크를 추가하는 동안 {functionname}을 복사한 함수 URL에서 각각 "RubrikRansomwareOrchestrator" 및 "RubrikThreatHuntOrchestrator"로 바꿉니다.

이제 rubrik 웹 후크 구성을 완료했습니다. 웹후크 이벤트가 트리거되었으면 Rubrik의 변칙, 랜섬웨어 조사 분석, 위협 헌팅 이벤트를 "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL"라는 각 LogAnalytics 작업 영역 테이블로 볼 수 있습니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.