Slack Audit-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Slack Audit-gegevensconnector biedt de mogelijkheid om Slack Audit Records-gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector biedt mogelijkheden om gebeurtenissen te verkrijgen die helpen bij het onderzoeken van mogelijke beveiligingsrisico's, het gebruik van samenwerking analyseren, configuratieproblemen diagnosticeren en meer.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
Verbinding maken orkenmerk | Beschrijving |
---|---|
Kusto-functiealias | SlackAudit |
Kusto-functie-URL | https://aka.ms/sentinel-SlackAuditAPI-parser |
Log Analytics-tabellen | SlackAudit_CL |
Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Slack-controlegebeurtenissen - alle activiteiten.
SlackAudit
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met Slack Audit (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- REST API-referenties/machtigingen: SlackAPIBearerToken is vereist voor REST API. Zie de documentatie voor meer informatie over API. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Slack REST API om de logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht. Volg deze stappen om de Kusto-functiealias, SlackAudit, te maken
STAP 1: configuratiestappen voor de Slack-API
Volg de instructies om de referenties te verkrijgen.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Slack Audit-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte hebben (u kunt de volgende gegevens kopiƫren).
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.