AbnormalSecurity-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De connector voor abnormale beveiligingsgegevens biedt de mogelijkheid om bedreigings- en caselogboeken op te nemen in Microsoft Sentinel met behulp van de Abnormal Security Rest API.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Toepassingsinstellingen | SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (optioneel)(voeg andere instellingen toe die vereist zijn voor de functie-app)Stel de uri waarde in op: <add uri value> |
| Code van Azure-functie-app | https://aka.ms/sentinel-abnormalsecurity-functionapp |
| Log Analytics-tabellen | ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Abnormale beveiliging |
Voorbeelden van query's
Alle logboeken voor abnormale beveiligingsrisico's
ABNORMAL_THREAT_MESSAGES_CL
| sort by TimeGenerated desc
Alle logboeken voor abnormale beveiligingscases
ABNORMAL_CASES_CL
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met AbnormalSecurity (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Abnormaal beveiligings-API token: een abnormaal beveiligings-API token is vereist. Zie de documentatie voor meer informatie over Abnormal beveiligings-API. Opmerking: er is een abnormaal beveiligingsaccount vereist
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de REST API van Abnormal Security om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
STAP 1: configuratiestappen voor de abnormale beveiligings-API
Volg deze instructies van Abnormal Security om de REST API-integratie te configureren. Opmerking: er is een abnormaal beveiligingsaccount vereist
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de connector voor abnormale beveiligingsgegevens implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kunnen worden gekopieerd uit het volgende) en het abnormale beveiligings-API autorisatietoken, direct beschikbaar.
Optie 1: ARM-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de Abnormal Security-connector met behulp van een ARM-sjabloon.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de microsoft Sentinel-werkruimte-id, de gedeelde sleutel van Microsoft Sentinel en de abnormale REST API-sleutel voor beveiliging in.
- Het standaardtijdinterval is ingesteld om de laatste vijf (5) minuten aan gegevens op te halen. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Kopen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de connector voor abnormale beveiligingsgegevens handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
1. Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor azure-functieontwikkeling.
Download het Azure Function App-bestand . Pak archief uit op uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit uitgepakte bestanden.
Kies het Azure-pictogram in de activiteitenbalk en kies vervolgens in het gebied Azure: Functions de knop Implementeren naar functie-app . Als u nog niet bent aangemeld, kiest u het Azure-pictogram op de activiteitenbalk en kiest u vervolgens in het gebied Azure: Functions de optie Aanmelden bij Azure als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map die uw functie-app bevat.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een globaal unieke naam in voor de functie-app: typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om er zeker van te zijn dat deze uniek is in Azure Functions. (bijvoorbeeld AbnormalSecurityXX).
e. Selecteer een runtime: Kies Python 3.8.
f. Selecteer een locatie voor nieuwe resources. Kies voor betere prestaties en lagere kosten dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Nadat de functie-app is gemaakt en het implementatiepakket is toegepast, wordt er een melding weergegeven.
Ga naar Azure Portal voor de configuratie van de functie-app.
2. De functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (optioneel) (voeg eventuele andere instellingen toe die vereist zijn voor de functie-app) Stel de
uriwaarde in op:<add uri value>
Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Azure Key Vault-verwijzingen voor meer informatie.
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.