Rubrik Security Cloud-gegevensconnector (met behulp van Azure Functions) voor Microsoft Sentinel

Met de Rubrik Security Cloud-gegevensconnector kunnen beveiligingsbewerkingsteams inzichten uit de gegevensobservabiliteitsservices van Rubrik integreren in Microsoft Sentinel. De inzichten omvatten het identificeren van afwijkend bestandssysteemgedrag dat is gekoppeld aan ransomware en massaverwijdering, het beoordelen van de straalstraal van een ransomware-aanval en gevoelige gegevensoperators om prioriteiten te stellen en sneller potentiële incidenten te onderzoeken.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk	Beschrijving
Code van Azure-functie-app	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics-tabellen	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Ondersteuning voor regels voor gegevensverzameling	Wordt momenteel niet ondersteund
Ondersteund door	Rubrik

Voorbeelden van query's

Rubrik Anomaly-gebeurtenissen - Anomaliegebeurtenissen voor alle ernsttypen.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik Ransomware Analysis Events - Ransomware Analysis Events voor alle ernsttypen.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik ThreatHunt-gebeurtenissen - Bedreigingsjachtgebeurtenissen voor alle ernsttypen.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Vereisten

Als u wilt integreren met rubrik Security Cloud-gegevensconnector (met behulp van Azure Functions), moet u het volgende doen:

• Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.

Installatie-instructies van leverancier

Notitie

Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Rubrik-webhook die de logboeken naar Microsoft Sentinel pusht. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.

(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

STAP 1: Kies EEN uit de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren

BELANGRIJK: Voordat u de Rubrik Microsoft Sentinel-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kunnen uit de volgende) direct beschikbaar zijn.

Optie 1: ARM-sjabloon (Azure Resource Manager)

Gebruik deze methode voor geautomatiseerde implementatie van de Rubrik-connector.

1. Klik op de knop Implementeren in Azure hieronder.

   

2. Selecteer het voorkeursabonnement, de resourcegroep en de locatie.

3. Voer de onderstaande gegevens in: Werkruimtesleutel voor de werkruimte-id van de functienaam Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.

5. Klik op Kopen om te implementeren.

Optie 2: handmatige implementatie van Azure Functions

Gebruik de volgende stapsgewijze instructies om de Rubrik Microsoft Sentinel-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).

1. Een functie-app implementeren

OPMERKING: U moet VS-code voorbereiden voor azure-functieontwikkeling.

1. Download het Azure Function App-bestand . Pak archief uit op uw lokale ontwikkelcomputer.

2. Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.

3. Selecteer de map op het hoogste niveau uit uitgepakte bestanden.

4. Kies het Azure-pictogram in de activiteitenbalk en kies vervolgens in het gebied Azure: Functions de knop Implementeren naar functie-app . Als u nog niet bent aangemeld, kiest u het Azure-pictogram op de activiteitenbalk en kiest u vervolgens in het gebied Azure: Functions de optie Aanmelden bij Azure als u al bent aangemeld, gaat u naar de volgende stap.

5. Geef de volgende informatie op bij de prompts:

   a. Map selecteren: Kies een map in uw werkruimte of blader naar een map die uw functie-app bevat.

   b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.

   c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)

   d. Voer een globaal unieke naam in voor de functie-app: typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om er zeker van te zijn dat deze uniek is in Azure Functions. (bijvoorbeeld RubrikXXXXX).

   e. Selecteer een runtime: Kies Python 3.8 of hoger.

   f. Selecteer een locatie voor nieuwe resources. Kies voor betere prestaties en lagere kosten dezelfde regio waar Microsoft Sentinel zich bevindt.

6. De implementatie wordt gestart. Nadat de functie-app is gemaakt en het implementatiepakket is toegepast, wordt er een melding weergegeven.

7. Ga naar Azure Portal voor de configuratie van de functie-app.

2. De functie-app configureren

1. Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
2. Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
3. Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe met de bijbehorende waarden (hoofdlettergevoelig): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (optioneel)

• Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us

4. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.

Stappen na implementatie

1. Het eindpunt van de functie-app ophalen

1. Ga naar de overzichtspagina van de Azure-functie en klik op het tabblad Functies .
2. Klik op de functie met de naam RubrikHttpStarter.
3. Ga naar 'GetFunctionurl' en kopieer de functie-URL.

2. Voeg een webhook toe in RubrikSecurityCloud om gegevens te verzenden naar Microsoft Sentinel.

Volg de instructies van de Rubrik-gebruikershandleiding om een webhook toe te voegen om informatie over gebeurtenissen te ontvangen met betrekking tot ransomwareafwijkingen

1. Selecteer de algemene naam als de webhookprovider (hiermee wordt informatie over de CEF-indeling gebruikt)
2. Voer het URL-onderdeel van de gekopieerde functie-URL in als het eindpunt van de webhook-URL en vervang {functionname} door RubrikAnomalyOrchestrator voor de Rubrik Microsoft Sentinel-oplossing
3. Selecteer de optie Geavanceerde of aangepaste verificatie
4. Voer x-functions-key in als http-header
5. Voer de functietoegangssleutel (waarde van de codeparameter uit de gekopieerde functie-URL) in als de HTTP-waarde (Opmerking: als u deze functietoegangssleutel in Microsoft Sentinel in de toekomst wijzigt, moet u deze webhookconfiguratie bijwerken)
6. Selecteer het EventType als anomalie
7. Selecteer de volgende ernstniveaus: Kritiek, Waarschuwing, Informatie
8. Herhaal dezelfde stappen om webhooks toe te voegen voor Ransomware Investigation Analysis and Threat Hunt.

OPMERKING: terwijl u webhooks toevoegt voor Ransomware Investigation Analysis and Threat Hunt, vervangt u {functionname} door "RubrikRansomwareOrchestrator" en "RubrikThreatHuntOrchestrator" respectievelijk in gekopieerde functie-URL.

Nu zijn we klaar met de rubrik Webhook-configuratie. Zodra de webhookgebeurtenissen zijn geactiveerd, moet u de Anomalie, Ransomware Investigation Analysis, Threat Hunt-gebeurtenissen uit de Rubrik kunnen zien in de respectieve LogAnalytics-werkruimtetabel met de naam 'Rubrik_Anomaly_Data_CL', 'Rubrik_Ransomware_Data_CL', 'Rubrik_ThreatHunt_Data_CL'.

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.