Tenable.io Connector voor beveiligingsproblemen beheren (met behulp van Azure Function) voor Microsoft Sentinel
De Tenable.io gegevensconnector biedt de mogelijkheid om asset- en beveiligingsgegevens op te nemen in Microsoft Sentinel via de REST API van het Tenable.io-platform (beheerd in de cloud). Raadpleeg de API-documentatie voor meer informatie. De connector biedt de mogelijkheid om gegevens op te halen die helpen bij het onderzoeken van mogelijke beveiligingsrisico's, het verkrijgen van inzicht in uw computerassets, het diagnosticeren van configuratieproblemen en meer
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Toepassingsinstellingen | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (optioneel) |
| Code van Azure-functie-app | https://aka.ms/sentinel-TenableIO-functionapp |
| Log Analytics-tabellen | Tenable_IO_Assets_CL Tenable_IO_Vuln_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Houdbaar |
Voorbeelden van query's
TenableIO VM-rapport - Alle assets
Tenable_IO_Assets_CL
| sort by TimeGenerated desc
TenableIO VM-rapport - Alle vulns
Tenable_IO_Vuln_CL
| sort by TimeGenerated desc
Selecteer unieke beveiligingsproblemen door een specifieke asset.
Tenable_IO_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Selecteer alle Azure-assets.
Tenable_IO_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Vereisten
Als u wilt integreren met Tenable.io Vulnerability Management (met behulp van Azure Function), moet u ervoor zorgen dat u het volgende hebt:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- REST API-referenties/machtigingen: zowel een TenableAccessKey als een TenableSecretKey is vereist voor toegang tot de Tenable REST API. Zie de documentatie voor meer informatie over API. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Durable Functions om verbinding te maken met de Tenable.io-API om assets en beveiligingsproblemen regelmatig op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze gegevensconnector is afhankelijk van een Tenable.io parser voor beveiligingsproblemen en een Tenable.io parser voor assets op basis van een Kusto-functie, zodat deze werkt zoals verwacht die wordt geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: configuratiestappen voor Tenable.io
Volg de instructies om de vereiste API-referenties te verkrijgen.
STAP 2: Kies EEN uit de volgende twee implementatieopties om de connector en de bijbehorende Azure Function-app te implementeren
BELANGRIJK: Voordat u de connector voor werkruimtegegevens implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte hebben (u kunt de volgende gegevens kopiëren).
Optie 1: ARM-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Tenable.io Gegevensconnector voor rapportgegevens over beveiligingsproblemen met behulp van een ARM-sjabloon.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u geen Windows- en Linux-apps in dezelfde regio combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de TenableAccessKey en TenableSecretKey in en implementeer. 4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies voor het handmatig implementeren van de Tenable.io dataconnector voor rapportgegevens over beveiligingsproblemen met Azure Functions (implementatie via Visual Studio Code).
1. Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor azure-functieontwikkeling.
Download het Azure Function App-bestand . Pak archief uit op uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit uitgepakte bestanden.
Kies het Azure-pictogram in de activiteitenbalk en kies vervolgens in het gebied Azure: Functions de knop Implementeren naar functie-app . Als u nog niet bent aangemeld, kiest u het Azure-pictogram op de activiteitenbalk en kiest u vervolgens in het gebied Azure: Functions de optie Aanmelden bij Azure als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map die uw functie-app bevat.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een globaal unieke naam in voor de functie-app: typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om er zeker van te zijn dat deze uniek is in Azure Functions. (bijvoorbeeld TenableIOXXXXX).
e. Selecteer een runtime: Kies Python 3.8.
f. Selecteer een locatie voor nieuwe resources. Kies voor betere prestaties en lagere kosten dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Nadat de functie-app is gemaakt en het implementatiepakket is toegepast, wordt er een melding weergegeven.
Ga naar Azure Portal voor de configuratie van de functie-app.
2. De functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<WorkspaceID>.ods.opinsights.azure.us3. Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor