Łącznik Palo Alto Prisma Cloud CSPM (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych Palo Alto Prisma Cloud CSPM zapewnia możliwość pozyskiwania alertów Prisma Cloud CSPM i dzienników inspekcji w usłudze Microsoft sentinel przy użyciu interfejsu API PRisma Cloud CSPM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API Prisma Cloud CSPM.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie alerty dotyczące chmury Prisma
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Wszystkie dzienniki inspekcji prisma Cloud
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Palo Alto Prisma Cloud CSPM (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Palo Alto Prisma Cloud API Credentials: Prisma Cloud API Url, Prisma Cloud Access Key ID, Prisma Cloud Secret Key są wymagane do połączenia interfejsu API chmury Prisma. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat tworzenia klucza dostępu do chmury Prisma i uzyskiwania adresu URL interfejsu API prisma w chmurze
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API REST aplikacji Palo Alto Prisma Cloud w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami PaloAltoPrismaCloud , która jest wdrażana przy użyciu rozwiązania microsoft sentinel.
KROK 1 . Konfiguracja chmury Prisma
Postępuj zgodnie z dokumentacją, aby utworzyć klucz dostępu do chmury Prisma i uzyskać adres URL interfejsu API prisma w chmurze
UWAGA: Użyj roli ADMINISTRATOR SYSTEMU do udzielenia dostępu do interfejsu API chmury Prisma, ponieważ tylko rola ADMINISTRATOR SYSTEMU może wyświetlać dzienniki inspekcji chmury Prisma. Aby uzyskać więcej informacji na temat uprawnień administratora, zobacz Prisma Cloud Administracja istrator Permissions (paloaltonetworks.com).
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych Prisma Cloud należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczenia interfejsu API chmury Prisma, łatwo dostępne.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.