Workplace from Facebook (using Azure Functions) connector for Microsoft Sentinel
Łącznik danych miejsca pracy zapewnia możliwość pozyskiwania typowych zdarzeń w miejscu pracy w usłudze Microsoft Sentinel za pośrednictwem elementów webhook. Elementy webhook umożliwiają niestandardowym aplikacjom integracji subskrybowanie zdarzeń w miejscu pracy i otrzymywanie aktualizacji w czasie rzeczywistym. Gdy w miejscu pracy wystąpi zmiana, żądanie HTTPS POST z informacjami o zdarzeniach jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | Workplace_Facebook_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Zdarzenia w miejscu pracy — wszystkie działania.
Workplace_Facebook_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Workplace z serwisu Facebook (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia elementów webhook: WorkplaceAppSecret, WorkplaceVerifyToken, adres URL wywołania zwrotnego jest wymagany dla działających elementów webhook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat konfigurowania elementów webhook i konfigurowania uprawnień.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych używa usługi Azure Functions na podstawie wyzwalacza HTTP do oczekiwania żądań POST z dziennikami w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją usługi Azure Functions.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias WorkplaceFacebook i załaduj kod funkcji lub kliknij tutaj w drugim wierszu zapytania, wprowadź nazwy hostów urządzeń Workplace Facebook i inne unikatowe identyfikatory dla strumienia dziennika. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
KROK 1 . Kroki konfiguracji dla miejsca pracy
Postępuj zgodnie z instrukcjami, aby skonfigurować elementy webhook.
- Zaloguj się do aplikacji Workplace przy użyciu poświadczeń użytkownika Administracja.
- W panelu Administracja kliknij pozycję Integracje.
- W widoku Wszystkie integracje kliknij pozycję Utwórz integrację niestandardową
- Wprowadź nazwę i opis, a następnie kliknij przycisk Utwórz.
- W panelu Szczegóły integracji pokaż wpis tajny aplikacji i skopiuj.
- W okienku Uprawnienia integracji ustaw wszystkie uprawnienia do odczytu. Aby uzyskać szczegółowe informacje, zapoznaj się ze stroną uprawnień.
- Teraz przejdź do kroku 2, aby wykonać kroki (wymienione w opcji 1 lub 2) w celu wdrożenia funkcji platformy Azure.
- Wprowadź żądane parametry, a także wprowadź wybrany token. Skopiuj ten token / Zanotuj go do nadchodzącego kroku.
- Po pomyślnym zakończeniu wdrażania usługi Azure Functions otwórz stronę Aplikacja funkcji, wybierz aplikację, przejdź do pozycji Funkcje, kliknij pozycję Pobierz adres URL funkcji i skopiuj go / Zanotuj go w nadchodzącym kroku.
- Wróć do obszaru Workplace z serwisu Facebook. W panelu Konfigurowanie elementów webhook na każdej karcie ustaw adres URL wywołania zwrotnego co ta sama wartość skopiowana w punkcie 9 powyżej i Sprawdź token co ta sama wartość skopiowana w punkcie 8 powyżej, która została uzyskana podczas kroku 2 wdrożenia usługi Azure Functions.
- Kliknij opcję Zapisz.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną usługę Azure Functions
WAŻNE: Przed wdrożeniem łącznika danych miejsca pracy należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.