Łącznik danych usługi Bitsight (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych usługi BitSight obsługuje oparte na dowodach monitorowanie zagrożeń cybernetycznych przez wprowadzenie danych usługi BitSight w usłudze Microsoft Sentinel.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-BitSight-functionapp |
Tabele usługi Log Analytics | Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Obsługa usługi BitSight |
Przykłady zapytań
Zdarzenia alertów usługi BitSight — zdarzenie alertów dla wszystkich firm w portfolio.
Alerts_data_CL
| sort by TimeGenerated desc
Zdarzenia naruszenia zabezpieczeń usługi BitSight — naruszenie zdarzenia dla wszystkich firm w portfolio.
BitsightBreaches_data_CL
| sort by TimeGenerated desc
Zdarzenia szczegółów firmy w usłudze BitSight — zdarzenie szczegółów firmy dla wszystkich firm w portfelu.
BitsightCompany_details_CL
| sort by TimeGenerated desc
Zdarzenia klasyfikacji firmy w usłudze BitSight — zdarzenie klasyfikacji firmy dla wszystkich firm.
BitsightCompany_rating_details_CL
| sort by TimeGenerated desc
Zdarzenia historyczne statystyki staranności w usłudze BitSight — historyczne zdarzenie statystyczne dla wszystkich firm.
BitsightDiligence_historical_statistics_CL
| sort by TimeGenerated desc
Zdarzenia statystyk staranności w usłudze BitSight — zdarzenie statystyki staranności dla wszystkich firm.
BitsightDiligence_statistics_CL
| sort by TimeGenerated desc
Zdarzenia ustaleń usługi BitSight — wyniki dla wszystkich firm.
BitsightFindings_data_CL
| sort by TimeGenerated desc
Zdarzenia podsumowania wyników usługi BitSight — podsumowanie wyników dla wszystkich firm.
BitsightFindings_summary_CL
| sort by TimeGenerated desc
Zdarzenia programu BitSight Graph — zdarzenie grafu dla wszystkich firm.
BitsightGraph_data_CL
| sort by TimeGenerated desc
Zdarzenia statystyki przemysłowej w usłudze BitSight — wydarzenie statystyki przemysłowej dla wszystkich firm.
BitsightIndustrial_statistics_CL
| sort by TimeGenerated desc
Zdarzenia statystyk obserwacji usługi BitSight — zdarzenie statystyk obserwacji dla wszystkich firm.
BitsightObservation_statistics_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować z łącznikiem danych usługi Bitsight (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: token interfejsu API usługi BitSight jest wymagany. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat tokenu interfejsu API.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API usługi BitSight w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
KROK 1. Kroki tworzenia/uzyskiwania tokenu interfejsu API usługi Bitsight
Postępuj zgodnie z tymi instrukcjami, aby uzyskać token interfejsu API usługi BitSight.
- W przypadku aplikacji SPM: zapoznaj się z kartą Preferencja użytkownika na stronie Konto, przejdź do pozycji Ustawienia > > Token interfejsu API preferencji > użytkownika.
- W przypadku aplikacji TPRM: zapoznaj się z kartą Preferencja użytkownika na stronie Konto, przejdź do pozycji Ustawienia > > Token interfejsu API preferencji > użytkownika.
- W przypadku klasycznej usługi BitSight: przejdź do strony Konto, przejdź do pozycji Ustawienia > Token interfejsu API konta>.
KROK 2. Kroki rejestracji aplikacji dla aplikacji w usłudze Microsoft Entra ID
Ta integracja wymaga rejestracji aplikacji w witrynie Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w usłudze Microsoft Entra ID:
- Zaloguj się w witrynie Azure Portal.
- Wyszukaj i wybierz Tożsamość Microsoft Entra.
- W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
- Wprowadź nazwę wyświetlaną aplikacji.
- Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.
- Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zobaczysz identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania łącznika danych usługi BitSight.
Link referencyjny: /azure/active-directory/develop/quickstart-register-app
KROK 3. Dodawanie wpisu tajnego klienta dla aplikacji w identyfikatorze Entra firmy Microsoft
Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych usługi BitSight. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:
- W witrynie Azure Portal w Rejestracje aplikacji wybierz aplikację.
- Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne >Nowego klienta.
- Dodaj opis wpisu tajnego klienta.
- Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności. Limit wynosi 24 miesiące.
- Wybierz Dodaj.
- Zapisz wartość klucza tajnego w kodzie aplikacji klienckiej. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonania łącznika danych usługi BitSight.
Link referencyjny: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
KROK 4. Przypisywanie roli Współautor do aplikacji w identyfikatorze Entra firmy Microsoft
Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:
- W witrynie Azure Portal przejdź do pozycji Grupa zasobów i wybierz grupę zasobów.
- Przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z panelu po lewej stronie.
- Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
- Wybierz pozycję Współautor jako rolę i kliknij przycisk Dalej.
- W obszarze Przypisz dostęp do wybierz pozycję
User, group, or service principal
. - Kliknij pozycję Dodaj członków i wpisz utworzoną nazwę aplikacji i wybierz ją.
- Teraz kliknij pozycję Przejrzyj i przypisz , a następnie ponownie kliknij pozycję Przejrzyj i przypisz.
Link referencyjny: /azure/role-based-access-control/role-assignments-portal
KROK 5. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych usługi BitSight należy ponownie udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następującego).
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika usługi BitSight.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź poniższe informacje:
- Nazwa funkcji
- Identyfikator obszaru roboczego
- Klucz obszaru roboczego
- API_token
- Firmy
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- Poziom dziennika
- Zaplanuj
- Schedule_Portfolio
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych usługi BitSight za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie aplikacji funkcji
UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.
Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.
Wybierz folder najwyższego poziomu z wyodrębnionych plików.
Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.
Podaj następujące informacje po wyświetleniu monitów:
a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.
c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)
d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. BitSightXXXXX).
e. Wybierz środowisko uruchomieniowe: wybierz język Python w wersji 3.8 lub nowszej.
f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.
Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
2. Konfigurowanie aplikacji funkcji
- W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
- Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
- Dodaj poszczególne z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter):
- Identyfikator obszaru roboczego
- Klucz obszaru roboczego
- API_token
- Firmy
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- Poziom dziennika
- Zaplanuj
- Schedule_Portfolio
- Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.