Znajdowanie łącznika danych Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

W tym artykule wymieniono wszystkie obsługiwane, wbudowane łączniki danych i linki do kroków wdrażania każdego łącznika.

Ważna

Łączniki danych są dostępne w ramach następujących ofert:

  • Rozwiązania: Wiele łączników danych jest wdrażanych w ramach rozwiązania Microsoft Sentinel wraz z powiązaną zawartością, taką jak reguły analizy, skoroszyty i podręczniki. Aby uzyskać więcej informacji, zobacz katalog rozwiązań Microsoft Sentinel.

  • Łączniki społeczności: społeczność Microsoft Sentinel udostępnia więcej łączników danych i można je znaleźć w witrynie Azure Marketplace. Dokumentacja łączników danych społeczności jest odpowiedzialna za organizację, która utworzyła łącznik.

  • Łączniki niestandardowe: jeśli masz źródło danych, które nie jest wymienione lub obecnie obsługiwane, możesz również utworzyć własny łącznik niestandardowy. Aby uzyskać więcej informacji, zobacz Zasoby do tworzenia łączników niestandardowych Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.

Wymagania wstępne dotyczące łącznika danych

Każdy łącznik danych ma własny zestaw wymagań wstępnych. Wymagania wstępne mogą obejmować posiadanie określonych uprawnień do Azure obszaru roboczego, subskrypcji lub zasad. Może być również konieczne spełnienie innych wymagań dotyczących źródła danych partnera, z którym nawiązujesz połączenie.

Wymagania wstępne dotyczące każdego łącznika danych są wymienione w tym artykule i na odpowiedniej stronie łącznika danych w Microsoft Sentinel.

Azure monitoruj łączniki danych oparte na agencie (AMA) wymagają połączenia internetowego z systemu, w którym jest zainstalowany agent. Włącz port 443 wychodzący, aby zezwolić na połączenie między systemem, w którym jest zainstalowany agent, a Microsoft Sentinel.

Łączniki Syslog i Common Event Format (CEF)

Zbieranie dzienników z wielu urządzeń i urządzeń zabezpieczeń jest obsługiwane przez dziennik Syslog łączników danych za pośrednictwem usługi AMA lub common event format (CEF) za pośrednictwem usługi AMA w Microsoft Sentinel. Aby przekazać dane do obszaru roboczego usługi Log Analytics dla Microsoft Sentinel, wykonaj kroki w temacie Pozyskiwanie dzienników i komunikatów CEF, aby Microsoft Sentinel za pomocą agenta Azure Monitor. Te kroki obejmują instalowanie rozwiązania Microsoft Sentinel dla urządzenia zabezpieczeń lub urządzenia z centrum zawartości w Microsoft Sentinel. Następnie skonfiguruj dziennik Syslog za pośrednictwem rozwiązania AMA lub Common Event Format (CEF) za pośrednictwem łącznika danych AMA, który jest odpowiedni dla zainstalowanego rozwiązania Microsoft Sentinel. Zakończ konfigurację, konfigurując urządzenie lub urządzenie zabezpieczające. Instrukcje dotyczące konfigurowania urządzenia lub urządzenia zabezpieczającego znajdują się w jednym z następujących artykułów:

Skontaktuj się z dostawcą rozwiązania, aby uzyskać więcej informacji lub gdzie informacje są niedostępne dla urządzenia lub urządzenia.

Dzienniki niestandardowe za pośrednictwem łącznika ama

Filtruj i pozyskuj dzienniki w formacie pliku tekstowego z aplikacji sieciowych lub zabezpieczeń zainstalowanych na maszynach z systemem Windows lub Linux przy użyciu dzienników niestandardowych za pośrednictwem łącznika ama w Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

łączniki danych Sentinel

Uwaga

W poniższej tabeli wymieniono łączniki danych dostępne w centrum zawartości Microsoft Sentinel. Łączniki są obsługiwane przez dostawcę produktu. Aby uzyskać pomoc techniczną, zobacz link Obsługiwane przez .

Porada

Aby uzyskać listę tabel pozyskanych do Microsoft Sentinel i łączników, które je pozyskują, zobacz Microsoft Sentinel tabele i skojarzone łączniki.

1Password (bezserwerowy)

Obsługiwane przez:1Password

Łącznik 1Password CCF umożliwia użytkownikowi pozyskiwanie zdarzeń inspekcji 1Password, signin & itemUsage do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OnePasswordEventLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Token interfejsu API 1Password: wymagany jest token interfejsu API 1Password. Zapoznaj się z dokumentacją 1Password dotyczącą sposobu tworzenia tokenu interfejsu API.

Instrukcje dotyczące konfiguracji:

KROK 1 . Tworzenie tokenu interfejsu API 1Password:

Postępuj zgodnie z dokumentacją 1Password , aby uzyskać wskazówki dotyczące tego kroku.

KROK 2 . Wybierz prawidłowy podstawowy adres URL:

Istnieje wiele serwerów 1Password, które mogą hostować zdarzenia. Prawidłowy serwer zależy od licencji i regionu. Postępuj zgodnie z dokumentacją 1Password , aby wybrać prawidłowy serwer. Wprowadź podstawowy adres URL wyświetlany w dokumentacji (w tym "https://" i bez końcowego ciągu "/").

KROK 3 — Wprowadź szczegóły 1Password:

Wprowadź poniższy podstawowy adres URL 1Password & tokenu interfejsu API:

  • Podstawowy adres URL: (Wprowadź podstawowy adres URL)
  • Token interfejsu API: (Wprowadź token interfejsu API)
  • Włączanie/wyłączanie połączenia



1Password (przy użyciu Azure Functions)

Obsługiwane przez:1Password

Rozwiązanie 1Password dla Microsoft Sentinel umożliwia pozyskiwanie prób logowania, użycia elementów i zdarzeń inspekcji z konta 1Password Business przy użyciu interfejsu API raportowania zdarzeń 1Password. Umożliwia to monitorowanie i badanie zdarzeń w aplikacji 1Password w Microsoft Sentinel wraz z innymi aplikacjami i usługami używanymi przez organizację.

Używane podstawowe technologie firmy Microsoft:

To rozwiązanie zależy od następujących technologii, a niektóre z nich mogą być w stanie wersja zapoznawcza lub mogą ponieść dodatkowe pozyskiwanie lub koszty operacyjne:

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OnePasswordEventLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API zdarzeń 1Password: wymagany jest token interfejsu API zdarzeń 1Password. Aby uzyskać więcej informacji, zobacz interfejs API 1Password.

Uwaga: Wymagane jest konto 1Password Business

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z aplikacją 1Password w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych z Azure. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki konfiguracji interfejsu API raportowania zdarzeń 1Password

Postępuj zgodnie z tymi instrukcjami dostarczonymi przez 1Password, aby uzyskać token interfejsu API raportowania zdarzeń. Uwaga: Wymagane jest konto 1Password Business

KROK 2 — Wdrażanie aplikacji funkcji przy użyciu przycisku DeployToAzure w celu utworzenia tabeli, kontrolera domeny i skojarzonej funkcji Azure

WAŻNE: Przed wdrożeniem łącznika 1Password należy utworzyć tabelę niestandardową.

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda umożliwia zautomatyzowane wdrożenie łącznika 1Password przy użyciu polecenia ARM Tempate.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź pola Nazwa obszaru roboczego, Nazwa obszaru roboczego, Klucz interfejsu API zdarzeń 1Password i identyfikator URI.

  • Domyślny interwał czasu jest ustawiony na pięć (5) minut. Jeśli chcesz zmodyfikować interwał, możesz odpowiednio dostosować wyzwalacz czasomierza aplikacji funkcji (w pliku function.json, po wdrożeniu), aby zapobiec nakładaniu się pozyskiwania danych.
  • Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.



AbnormalSecurity (przy użyciu funkcji Azure)

Obsługiwane przez:Nietypowe zabezpieczenia

Łącznik danych Nietypowe zabezpieczenia zapewnia możliwość pozyskiwania zagrożeń i dzienników przypadków w Microsoft Sentinel przy użyciu interfejsu API Rest nietypowych zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ABNORMAL_THREAT_MESSAGES_CL Nie Nie
ABNORMAL_CASES_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Nietypowy token interfejs API Zabezpieczenia: wymagany jest nietypowy token interfejs API Zabezpieczenia. Aby uzyskać więcej informacji, zobacz Nietypowe interfejs API Zabezpieczenia. Uwaga: Wymagane jest nietypowe konto zabezpieczeń

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST usługi Abnormal Security w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

KROK 1 — Kroki konfiguracji dla nietypowego interfejs API Zabezpieczenia

Postępuj zgodnie z tymi instrukcjami dostarczonymi przez narzędzie Abnormal Security, aby skonfigurować integrację interfejsu API REST. Uwaga: Wymagane jest nietypowe konto zabezpieczeń

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Nietypowe zabezpieczenia należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępny token autoryzacji nietypowej interfejs API Zabezpieczenia.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda umożliwia zautomatyzowane wdrożenie łącznika Nietypowe zabezpieczenia przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego Microsoft Sentinel, Microsoft Sentinel klucz udostępniony i klucz interfejsu API REST z nietypowymi zabezpieczeniami.

  • Domyślny interwał czasu jest ustawiony na ściąganie danych z ostatnich pięciu (5) minut. Jeśli interwał czasu wymaga modyfikacji, zaleca się odpowiednią zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json, po wdrożeniu), aby zapobiec nakładaniu się pozyskiwania danych.
  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Nietypowe zabezpieczenia przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. AbnormalSecurityXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.8.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj poszczególne z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (opcjonalnie) (dodaj inne ustawienia wymagane przez aplikację funkcji) Ustaw uri wartość na: <add uri value>

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Azure Key Vault odwołań.

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Agent 365

Obsługiwane przez:Microsoft Corporation

Agent 365 łącznik danych zapewnia bardziej szczegółowe informacje na temat działania agenta sztucznej inteligencji, dostarczając dane telemetryczne agenta sztucznej inteligencji z Agent 365, AI Foundry i Copilot w Microsoft Sentinel data lake w celu zbadania zachowania agenta, użycia narzędzi i wykonywania przy użyciu przepływów pracy wyszukiwania zagrożeń, grafu i mcp. Dane z tego łącznika służą do badania zachowania agenta sztucznej inteligencji, użycia narzędzi i wykonywania w Microsoft Sentinel. Jeśli te przepływy pracy zostały włączone, dezaktywowanie tego łącznika uniemożliwi wykonanie tych badań.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:



AIShield

Obsługiwane przez:AIShield

Łącznik AIShield umożliwia użytkownikom łączenie się z dziennikami niestandardowego mechanizmu obrony AIShield za pomocą Microsoft Sentinel, co umożliwia tworzenie dynamicznych pulpitów nawigacyjnych, skoroszytów, notesów i dostosowanych alertów w celu usprawnienia badania i udaremnienia ataków na systemy sztucznej inteligencji. Zapewnia użytkownikom lepszy wgląd w zabezpieczenia zasobów sztucznej inteligencji w organizacji i poprawia możliwości operacji zabezpieczeń systemów sztucznej inteligencji. AIShield.GuArdIan analizuje zawartość wygenerowaną przez usługę LLM w celu identyfikowania i eliminowania szkodliwych treści, chroniąc przed naruszeniami prawa, zasad, ról i użycia

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AIShield_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uwaga: użytkownicy powinni korzystać z oferty AIShield SaaS do przeprowadzania analizy luk w zabezpieczeniach i wdrażania niestandardowych mechanizmów obrony generowanych wraz z zasobami sztucznej inteligencji. Kliknij tutaj , aby dowiedzieć się więcej lub skontaktować się z nami.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami w usłudze AIShield wdrożonej za pomocą rozwiązania Microsoft Sentinel.

WAŻNE: Przed wdrożeniem łącznika AIShield należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Alibaba Cloud ActionTrail (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Alibaba Cloud ActionTrail zapewnia możliwość pobierania zdarzeń actiontrail przechowywanych w usłudze Alibaba Cloud Simple Log Service i przechowywania ich w Microsoft Sentinel za pośrednictwem interfejsu API REST sls. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AliCloudActionTrailLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia/uprawnienia interfejsu API REST sls: AliCloudAccessKeyId i AliCloudAccessKeySecret są wymagane do wykonywania wywołań interfejsu API. Instrukcja zasad pamięci RAM z akcją atleast log:GetLogStoreLogs nad zasobem acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} jest potrzebna do udzielenia użytkownikowi pamięci RAM uprawnień do wywoływania tej operacji.

Instrukcje dotyczące konfiguracji:

Konfigurowanie dostępu do interfejsu API SLA w usłudze AliCloud

Przed użyciem interfejsu API musisz przygotować konto tożsamości i parę kluczy dostępu, aby skutecznie uzyskać dostęp do interfejsu API.

  1. Zalecamy używanie użytkownika usługi Resource Access Management (RAM) do wywoływania operacji interfejsu API. Aby uzyskać więcej informacji, zobacz tworzenie użytkownika pamięci RAM i autoryzowanie użytkownika pamięci RAM w celu uzyskania dostępu do usługi Simple Log Service.
  2. Uzyskaj parę kluczy dostępu dla użytkownika pamięci RAM. Aby uzyskać szczegółowe informacje, zobacz pobieranie pary kluczy dostępu.

Zanotuj szczegóły pary kluczy dostępu dla następnego kroku.

Dodawanie magazynu dzienników actiontrail

Aby włączyć łącznik Alibaba Cloud ActionTrail dla Microsoft Sentinel, kliknij pozycję Dodaj magazyn dzienników usługi ActionTrail, wypełnij formularz konfiguracją środowiska Alibaba Cloud i kliknij przycisk Połącz.

  • Siatka łączników danych (konfigurowana w portalu)



Alibaba Cloud Networking Data Connector (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Alibaba Cloud Networking zapewnia możliwość pozyskiwania danych sieciowych alibaba cloud do Microsoft Sentinel za pośrednictwem interfejsu API REST usługi Simple Log Service (SLS). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik zapewnia możliwość pobierania dzienników przepływu VPC, dzienników zapory aplikacji internetowej i dzienników bramy interfejsu API z chmury Alibaba.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AlibabaCloudVPCFlowLogs Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Alibaba Cloud SLS API access: Alibaba Cloud Simple Log Service access is required for the SLS API .Alibaba Cloud Simple Log Service access is required for the SLS API (Dostęp do interfejsu API SLS w chmurze Alibaba Cloud Simple Log Service jest wymagany dla interfejsu API SLS).

Instrukcje dotyczące konfiguracji:

Konfigurowanie dostępu do interfejsu API SLA w usłudze AliCloud

Przed użyciem interfejsu API musisz przygotować konto tożsamości i parę kluczy dostępu, aby skutecznie uzyskać dostęp do interfejsu API.

  1. Zalecamy używanie użytkownika usługi Resource Access Management (RAM) do wywoływania operacji interfejsu API. Aby uzyskać więcej informacji, zobacz tworzenie użytkownika pamięci RAM i autoryzowanie użytkownika pamięci RAM w celu uzyskania dostępu do usługi Simple Log Service.
  2. Uzyskaj parę kluczy dostępu dla użytkownika pamięci RAM. Aby uzyskać szczegółowe informacje, zobacz pobieranie pary kluczy dostępu.

Zanotuj szczegóły pary kluczy dostępu dla następnego kroku.

  • Siatka łączników danych (konfigurowana w portalu)



AliCloud (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych AliCloud umożliwia pobieranie dzienników z aplikacji w chmurze przy użyciu interfejsu API chmury i przechowywanie zdarzeń w Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AliCloud_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: AliCloudAccessKeyId i AliCloudAccessKey są wymagane do wykonywania wywołań interfejsu API.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Azure Blob Storage w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami w usłudze AliCloud wdrożonej za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Kroki konfiguracji interfejsu API usługi AliCloud

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Uzyskaj pozycje AliCloudAccessKeyId i AliCloudAccessKey: zaloguj się na koncie, kliknij pozycję Zarządzanie kluczami dostępu, a następnie kliknij pozycję Wyświetl wpis tajny.
  2. Zapisz poświadczenia do użycia w łączniku danych.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych AliCloud należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych AliCloud przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź wartości WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects i AppInsightsWorkspaceResourceID i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych AliCloud przy użyciu Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. AliCloudXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (uwzględniana wielkość liter): WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Amazon Web Services

Obsługiwane przez:Microsoft Corporation

Instrukcje dotyczące nawiązywania połączenia z usługą AWS i przesyłania strumieniowego dzienników usługi CloudTrail do Microsoft Sentinel są wyświetlane podczas procesu instalacji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSCloudTrail Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Amazon Web Services CloudFront (za pośrednictwem struktury łączników bez kodu) (wersja zapoznawcza)

Obsługiwane przez:Microsoft Corporation

Ten łącznik danych umożliwia integrację dzienników usługi CloudFront platformy AWS z Microsoft Sentinel w celu obsługi zaawansowanego wykrywania zagrożeń, badania i monitorowania zabezpieczeń. Korzystając z usługi Amazon S3 do przechowywania dzienników i usługi Amazon SQS do kolejkowania komunikatów, łącznik niezawodnie pozyskuje dzienniki dostępu cloudfront do Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSCloudFront_AccessLog_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Pozyskiwanie dzienników usługi AWS CloudFront w Microsoft Sentinel

Lista wymaganych zasobów:

  • Dostawca tożsamości internetowej programu Open ID Connect (OIDC)
  • Rola IAM
  • Amazon S3 Bucket
  • Amazon SQS
  • Konfiguracja usługi AWS CloudFront
  1. Wdrożenie AWS CloudFormation Aby skonfigurować dostęp na platformie AWS, wygenerowano dwa szablony w celu skonfigurowania środowiska platformy AWS do wysyłania dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics.

Dla każdego szablonu utwórz stos na platformie AWS:

  1. Przejdź do obszaru AWS CloudFormation Stacks.
  2. Wybierz opcję "Określ szablon", a następnie "Przekaż plik szablonu", klikając pozycję "Wybierz plik" i wybierając odpowiedni plik szablonu CloudFormation podany poniżej. kliknij pozycję "Wybierz plik" i wybierz pobrany szablon.
  3. Kliknij pozycje "Dalej" i "Utwórz stos".
  • Szablon 1: Wdrożenie uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów usługi AWSCloudFront: <wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć usługę AWS S3 dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



Elastyczne równoważenie obciążenia usług Amazon Web Services (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik usługi AWS Elastic Load Balancing (ELB) dla Microsoft Sentinel umożliwia pozyskiwanie dzienników dostępu i dzienników przepływu z modułów równoważenia obciążenia aplikacji platformy AWS (ALB), modułów równoważenia obciążenia sieciowego (NLB) i modułów równoważenia obciążenia bramy (GLB) do Microsoft Sentinel. Te dzienniki zawierają szczegółowe informacje o żądaniach przetwarzanych przez moduły równoważenia obciążenia i przepływy ruchu VPC, umożliwiające monitorowanie zabezpieczeń, wykrywanie zagrożeń i analizę ruchu.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSALBAccessLogsData Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • ARN roli usługi AWS IAM i kolejki SQS: ARN roli usługi AWS IAM z dostępem między kontami i adres URL kolejki SQS skonfigurowane dla powiadomień o zdarzeniach S3 są wymagane. Aby uzyskać instrukcje dotyczące konfiguracji, zobacz dokumentację łącznika AWS ELB .

Instrukcje dotyczące konfiguracji:

  1. Wdrożenie AWS CloudFormation Aby skonfigurować dostęp na platformie AWS, użyj szablonów CloudFormation, aby skonfigurować środowisko do wysyłania dzienników z usługi ALB, równoważenia obciążenia sieciowego i równoważenia obciążenia sieciowego do obszaru roboczego usługi Log Analytics.

Kroki wdrażania:

  1. Przejdź do szablonów tworzenia chmury i pobierz pliki szablonów JSON.
  2. Przejdź do obszaru AWS CloudFormation Stacks.
  3. Najpierw wdróż szablon OIDCWebIdProvider.json (pomiń, jeśli masz już dostawcę OIDC dla Microsoft Sentinel).
  4. Następnie wdróż szablon AWSS3ELB.json przy użyciu parametrów.
  5. Zanotuj następujące wartości z danych wyjściowych stosu:
    • IAMRoleArn
    • ALBSQSQueueURL
    • NLBSQSQueueURL
    • NLBFlowLogsSQSQueueURL
    • GLBFlowLogsSQSQueueURL

Konfiguracja po wdrożeniu:

Po pomyślnym wdrożeniu stosu CloudFormation:

  • Przejdź do karty Zasoby w stosie.
  • Znajdź utworzoną nazwę zasobnika S3.
  • W zasobniku S3 ręcznie utwórz następujące foldery:
    • ALBLogs
    • NLBAccessLogs
    • NLBFlowLogs
    • GLBFlowLogs

Wysyłanie dzienników:

Po utworzeniu folderu skonfiguruj usługi AWS do wysyłania dzienników do odpowiednich folderów:

  • Dzienniki dostępu usługi ALB —>ALBLogs/
  • Dzienniki dostępu równoważenia obciążenia sieciowego —>NLBAccessLogs/
  • Dzienniki przepływu równoważenia obciążenia sieciowego —>NLBFlowLogs/
  • Dzienniki przepływu równoważenia obciążenia sieciowego —>GLBFlowLogs/

Te dzienniki zostaną pozyskane do odpowiednich tabel w obszarze roboczym usługi Log Analytics.

Mapowanie tabeli:

  • Dzienniki dostępu usługi ALB —>AWSALBAccessLogsData
  • Dzienniki dostępu równoważenia obciążenia sieciowego —>AWSNLBAccessLogsData
  • Dzienniki przepływu równoważenia obciążenia sieciowego i równoważenia obciążenia sieciowego —>AWSELBFlowLogsData

Uwaga:AWSELBFlowLogsData W tabeli kolumna o nazwie LogType wskazuje, czy wiersz pochodzi z dzienników przepływu równoważenia obciążenia sieciowego, czy dzienników przepływu równoważenia obciążenia sieciowego.

  1. Połącz nowe moduły zbierające Aby włączyć łącznik, kliknij przycisk Dodaj nowy moduł zbierający, wprowadź wymagane szczegóły, a następnie kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



Amazon Web Services NetworkFirewall (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Ten łącznik danych umożliwia pozyskiwanie dzienników zapory sieciowej platformy AWS do Microsoft Sentinel w celu zaawansowanego wykrywania zagrożeń i monitorowania zabezpieczeń. Korzystając z usług Amazon S3 i Amazon SQS, łącznik przekazuje dzienniki ruchu sieciowego, alerty wykrywania włamań i zdarzenia zapory do Microsoft Sentinel, umożliwiając analizę w czasie rzeczywistym i korelację z innymi danymi zabezpieczeń

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSNetworkFirewallFlow Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Pozyskiwanie dzienników AWS NetworkFirewall w Microsoft Sentinel

Lista wymaganych zasobów:

  • Dostawca tożsamości internetowej programu Open ID Connect (OIDC)
  • Rola IAM
  • Amazon S3 Bucket
  • Amazon SQS
  • Konfiguracja AWSNetworkFirewall
  • Postępuj zgodnie z instrukcjami dotyczącymi konfiguracji łącznika danych AWS NetworkFirewall
  1. Wdrożenie AWS CloudFormation Aby skonfigurować dostęp na platformie AWS, wygenerowano dwa szablony w celu skonfigurowania środowiska platformy AWS do wysyłania dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics.

Dla każdego szablonu utwórz stos na platformie AWS:

  1. Przejdź do obszaru AWS CloudFormation Stacks.
  2. Wybierz opcję "Określ szablon", a następnie "Przekaż plik szablonu", klikając pozycję "Wybierz plik" i wybierając odpowiedni plik szablonu CloudFormation podany poniżej. kliknij pozycję "Wybierz plik" i wybierz pobrany szablon.
  3. Kliknij pozycje "Dalej" i "Utwórz stos".
  • Szablon 1: Wdrożenie uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrożenie zasobów AWSNetworkFirewall: <wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć usługę AWS S3 dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



Amazon Web Services S3

Obsługiwane przez:Microsoft Corporation

Ten łącznik umożliwia pozyskiwanie dzienników usługi AWS zebranych w zasobnikach AWS S3 w celu Microsoft Sentinel. Obecnie obsługiwane typy danych to:

  • AWS CloudTrail
  • Dzienniki przepływu VPC
  • AWS GuardDuty
  • AWSCloudWatch

Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSGuardDuty Tak Tak
AWSVPCFlow Tak Tak
AWSCloudTrail Tak Tak
AWSCloudWatch Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: S3, Simple Queue Service (SQS), role IAM i zasady uprawnień oraz usługi AWS, których dzienniki chcesz zebrać.

Instrukcje dotyczące konfiguracji:

1. Konfigurowanie środowiska platformy AWS

Istnieją dwie opcje konfigurowania środowiska platformy AWS w celu wysyłania dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics:

Konfiguracja przy użyciu skryptu programu PowerShell (zalecane)

  • Uruchom skrypt, aby skonfigurować środowisko: <wartość zmiennej podana w czasie instalacji>
  • Tożsamość zewnętrzna (Identyfikator obszaru roboczego): <wartość zmiennej podana w czasie instalacji>

Konfiguracja ręczna

Postępuj zgodnie z instrukcjami podanymi w poniższym linku, aby skonfigurować środowisko: Połącz usługę AWS S3 z Microsoft Sentinel

2. Dodawanie połączenia



Amazon Web Services S3 DNS Route53 (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Ten łącznik umożliwia pozyskiwanie dzienników DNS usługi AWS Route 53 do Microsoft Sentinel w celu zwiększenia widoczności i wykrywania zagrożeń. Obsługuje ona dzienniki zapytań rozpoznawania nazw DNS pozyskiwane bezpośrednio z zasobników usług AWS S3, natomiast dzienniki zapytań publicznego systemu DNS i dzienniki inspekcji usługi Route 53 można pozyskiwać przy użyciu łączników AWS CloudWatch i CloudTrail Microsoft Sentinel. Dostępne są kompleksowe instrukcje, które przeprowadzą Cię przez proces konfiguracji każdego typu dziennika. Skorzystaj z tego łącznika, aby monitorować aktywność DNS, wykrywać potencjalne zagrożenia i poprawiać stan zabezpieczeń w środowiskach chmury.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSRoute53Resolver Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

AWS Route53

Ten łącznik umożliwia pozyskiwanie dzienników DNS usługi AWS Route 53 do Microsoft Sentinel, zapewniając lepszy wgląd w działania DNS i wzmacniając możliwości wykrywania zagrożeń. Obsługuje bezpośrednie pozyskiwanie dzienników zapytań rozpoznawania nazw DNS z zasobników usług AWS S3, natomiast dzienniki zapytań publicznego systemu DNS i dzienniki inspekcji usługi Route 53 można pozyskiwać za pośrednictwem łączników AWS CloudWatch i CloudTrail Microsoft Sentinel. Szczegółowe instrukcje konfiguracji są dostarczane dla każdego typu dziennika. Ten łącznik służy do monitorowania ruchu DNS, identyfikowania potencjalnych zagrożeń i zwiększania poziomu zabezpieczeń chmury.

Z usługi AWS Route 53 do Microsoft Sentinel można pozyskiwać następujące typy dzienników:

  1. Routing 53 Resolver query logs (Dzienniki zapytań programu rozpoznawania tras 53)
  2. Routing 53 Dzienniki zapytań publicznych stref hostowanych (za pośrednictwem łącznika usługi Microsoft Sentinel CloudWatch)
  3. Dzienniki inspekcji usługi Route 53 (za pośrednictwem łącznika Microsoft Sentinel CloudTrail)

Pozyskiwanie dzienników zapytań programu rozpoznawania nazw route53 w Microsoft Sentinel

Lista wymaganych zasobów:

  • Dostawca tożsamości internetowej programu Open ID Connect (OIDC)
  • Rola IAM
  • Amazon S3 Bucket
  • Amazon SQS
  • Konfiguracja rejestrowania zapytań programu rozpoznawania nazw route 53
  • VPC do skojarzenia z konfiguracją dziennika zapytań programu Route53 Resolver
  1. Wdrożenie AWS CloudFormation Aby skonfigurować dostęp na platformie AWS, wygenerowano dwa szablony w celu skonfigurowania środowiska platformy AWS do wysyłania dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics.

Dla każdego szablonu utwórz stos na platformie AWS:

  1. Przejdź do obszaru AWS CloudFormation Stacks.
  2. Wybierz opcję "Określ szablon", a następnie "Przekaż plik szablonu", klikając pozycję "Wybierz plik" i wybierając odpowiedni plik szablonu CloudFormation podany poniżej. kliknij pozycję "Wybierz plik" i wybierz pobrany szablon.
  3. Kliknij pozycje "Dalej" i "Utwórz stos".
  • Szablon 1: Wdrożenie uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów usługi AWS Route53: <wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć usługę Amazon Web Services S3 DNS Route53 dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)

Pozyskiwanie dzienników zapytań usługi Route 53 Public Hosted zones (za pośrednictwem łącznika usługi CloudWatch Microsoft Sentinel)

Dzienniki zapytań publicznej strefy hostowanej są eksportowane do usługi CloudWatch w usłudze AWS. Możemy użyć łącznika "Amazon Web Services S3" do pozyskiwania dzienników usługi CloudWatch z usług AWS do Microsoft Sentinel.

Krok 1. Konfigurowanie rejestrowania dla publicznych zapytań DNS

  1. Zaloguj się do konsoli zarządzania platformy AWS i otwórz konsolę Route 53 w usłudze AWS Route 53.
  2. Przejdź do obszaru Route 53 Hosted zones (Trasy 53 > hostowane strefy).
  3. Wybierz publiczną strefę hostowaną, dla której chcesz skonfigurować rejestrowanie zapytań.
  4. W okienku Szczegóły strefy hostowanej kliknij pozycję "Konfiguruj rejestrowanie zapytań".
  5. Wybierz istniejącą grupę dzienników lub utwórz nową grupę dzienników.
  6. Wybierz pozycję Utwórz.

Krok 2. Konfigurowanie łącznika danych Amazon Web Services S3 dla usługi AWS CloudWatch

Dzienniki usługi AWS CloudWatch można eksportować do zasobnika S3 przy użyciu funkcji lambda. Aby pozyskiwać publiczne zapytania DNS z zasobnika do S3 zasobnika, a następnie do Microsoft Sentinel, postępuj zgodnie z AWS CloudWatch instrukcjami podanymi w łączniku Amazon Web Services S3.

Pozyskiwanie dzienników inspekcji usługi Route 53 (za pośrednictwem łącznika Microsoft Sentinel CloudTrail)

Dzienniki inspekcji trasy 53, czyli dzienniki związane z akcjami wykonywanymi przez użytkownika, rolę lub usługę AWS w usłudze Route 53, można wyeksportować do zasobnika S3 za pośrednictwem usługi CloudTrail platformy AWS. Możemy użyć łącznika "Amazon Web Services S3" do pozyskiwania dzienników CloudTrail z usług AWS do Microsoft Sentinel.

Krok 1. Konfigurowanie rejestrowania dla dzienników inspekcji usługi AWS Route 53

  1. Zaloguj się do konsoli zarządzania platformy AWS i otwórz konsolę CloudTrail w usłudze AWS CloudTrail
  2. Jeśli nie masz istniejącego szlaku, kliknij pozycję "Utwórz szlak"
  3. Wprowadź nazwę szlaku w polu Nazwa szlaku.
  4. Wybierz pozycję Utwórz nowy zasobnik S3 (możesz również wybrać użycie istniejącego zasobnika S3).
  5. Pozostaw inne ustawienia jako domyślne, a następnie kliknij przycisk Dalej.
  6. Wybierz pozycję Typ zdarzenia, upewnij się, że wybrano pozycję Zdarzenia zarządzania.
  7. Wybieranie działań interfejsu API, "Odczyt" i "Zapis"
  8. Kliknij przycisk Dalej.
  9. Przejrzyj ustawienia i kliknij pozycję "Utwórz ścieżkę".

Krok 2. Konfigurowanie łącznika danych Amazon Web Services S3 dla usługi AWS CloudTrail

Aby pozyskiwać dzienniki inspekcji i zarządzania od do Microsoft Sentinel, postępuj zgodnie z AWS CloudTrail instrukcjami podanymi w łączniku Amazon Web Services S3



Amazon Web Services S3 WAF

Obsługiwane przez:Microsoft Corporation

Ten łącznik umożliwia pozyskiwanie dzienników zapory aplikacji internetowych platformy AWS zebranych w zasobnikach AWS S3 w celu Microsoft Sentinel. Dzienniki zapory aplikacji internetowej platformy AWS to szczegółowe rekordy ruchu analizowanego przez listy kontroli dostępu do sieci Web (ACL), które są niezbędne do utrzymania bezpieczeństwa i wydajności aplikacji internetowych. Te dzienniki zawierają informacje, takie jak czas odebrania żądania przez aplikację internetową platformy AWS, szczegóły żądania i akcja podjęta przez regułę dopasowaną do żądania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSWAF Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

  1. Wdrożenie AWS CloudFormation Aby skonfigurować dostęp na platformie AWS, wygenerowano dwa szablony w celu skonfigurowania środowiska platformy AWS do wysyłania dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics.

Dla każdego szablonu utwórz stos na platformie AWS:

  1. Przejdź do obszaru AWS CloudFormation Stacks.
  2. Wybierz opcję "Określ szablon", a następnie "Przekaż plik szablonu", klikając pozycję "Wybierz plik" i wybierając odpowiedni plik szablonu CloudFormation podany poniżej. kliknij pozycję "Wybierz plik" i wybierz pobrany szablon.
  3. Kliknij pozycje "Dalej" i "Utwórz stos".
  • Szablon 1: Wdrożenie uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów zapory aplikacji internetowej platformy AWS: <wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć usługę AWS S3 dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



Anvilogic

Obsługiwane przez:Anvilogic

Łącznik danych anvilogic umożliwia ściąganie pożądanych zdarzeń generowanych w klastrze ADX systemu Anvilogic do Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Anvilogic_Alerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Anvilogic Application Registration Client ID and Client Secret (Identyfikator klienta rejestracji aplikacji anvilogic i klucz tajny klienta): aby uzyskać dostęp do rozwiązania Anvilogic ADX, wymagamy identyfikatora klienta i klucza tajnego klienta z rejestracji aplikacji Anvilogic

Instrukcje dotyczące konfiguracji:

Połącz się z aplikacją Anvilogic, aby rozpocząć zbieranie zdarzeń interesujących Microsoft Sentinel

Wypełnij formularz, aby pozyskiwać alerty anvilogic do Microsoft Sentinel

  • Punkt końcowy tokenu: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
  • Anvilogic ADX Scope: (<avl_adx_uri>/.default)
  • Identyfikator URI żądania ADX rozwiązania Anvilogic: (<avl_adx_uri>/v2/rest/query)



ARGOS Cloud Security

Obsługiwane przez:ARGOS Cloud Security

Integracja rozwiązania ARGOS Cloud Security dla Microsoft Sentinel umożliwia posiadanie wszystkich ważnych zdarzeń zabezpieczeń w chmurze w jednym miejscu. Dzięki temu można łatwo tworzyć pulpity nawigacyjne, alerty i korelować zdarzenia w wielu systemach. Ogólnie rzecz biorąc, poprawi to stan zabezpieczeń organizacji i reakcję na zdarzenia dotyczące zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ARGOS_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

1. Subskrybowanie usługi ARGOS

Upewnij się, że masz już subskrypcję ARGOS. Jeśli nie, przejdź do usługi ARGOS Cloud Security i zarejestruj się w usłudze ARGOS.

Alternatywnie możesz również kupić usługę ARGOS za pośrednictwem witryny Azure Marketplace.

2. Konfigurowanie integracji Sentinel z argos

Skonfiguruj usługę ARGOS, aby przekazywać nowe wykrycia do obszaru roboczego Sentinel, udostępniając usługom ARGOS identyfikator obszaru roboczego i klucz podstawowy.

Nie trzeba wdrażać żadnej infrastruktury niestandardowej.

Wprowadź informacje na stronie konfiguracji Sentinel ARGOS.

Nowe wykrycia zostaną automatycznie przekazane dalej.

Dowiedz się więcej o integracji

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Działania alertów armis (przy użyciu Azure Functions)

Obsługiwane przez:Armis Corporation

Łącznik Działania alertów armis umożliwia pozyskiwanie alertów i działań armis do Microsoft Sentinel za pośrednictwem interfejsu API REST armis. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją https://<YourArmisInstance>.armis.com/api/v1/docs interfejsu API. Łącznik zapewnia możliwość uzyskiwania informacji o alertach i działaniach z platformy Armis oraz identyfikowania i określania priorytetów zagrożeń w środowisku. Usługa Armis używa istniejącej infrastruktury do odnajdywania i identyfikowania urządzeń bez konieczności wdrażania jakichkolwiek agentów.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Armis_Alerts_CL Nie Nie
Armis_Activities_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz tajny armis . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API https://<YourArmisInstance>.armis.com/api/v1/doc

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API armis w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Log Analytics/Microsoft Sentinel Logs, kliknij pozycję Funkcje i wyszukaj alias ArmisActivities/ArmisAlerts i załaduj kod funkcji. Aktywacja funkcji zwykle trwa od 10 do 15 minut po instalacji/aktualizacji rozwiązania.

KROK 1 — Kroki konfiguracji interfejsu API Armis

Postępuj zgodnie z tymi instrukcjami, aby utworzyć klucz tajny interfejsu API Armis.

  1. Zaloguj się do wystąpienia usługi Armis
  2. Przejdź do pozycji Ustawienia —> API Management
  3. Jeśli klucz tajny nie został jeszcze utworzony, naciśnij przycisk Utwórz, aby utworzyć klucz tajny
  4. Aby uzyskać dostęp do klucza tajnego, naciśnij przycisk Pokaż
  5. Klucz tajny można teraz skopiować i użyć podczas konfiguracji łącznika Działania alertów armis

KROK 2 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych działań alertów armis.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 3 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji, klucz tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych działań alertów armis. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych działań alertów armis.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 4 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 5 . Tworzenie magazynu kluczy

Postępuj zgodnie z tymi instrukcjami, aby utworzyć nowy magazyn kluczy.

  1. W Azure Portal przejdź do pozycji Magazyny kluczy. Kliknij pozycję Utwórz.
  2. Wybierz pozycję Podsieć, Grupa zasobów i podaj unikatową nazwę magazynu kluczy.

UWAGA: Utwórz oddzielny magazyn kluczy dla każdego klucza interfejsu API w jednym obszarze roboczym.

KROK 6 — Tworzenie zasad dostępu w usłudze Keyvault

Postępuj zgodnie z tymi instrukcjami, aby utworzyć zasady dostępu w usłudze Keyvault.

  1. Przejdź do funkcji keyvaults, wybierz swój magazyn kluczy, przejdź do pozycji Zasady dostępu w panelu po lewej stronie. Kliknij pozycję Utwórz.
  2. Wybierz wszystkie klucze & uprawnienia wpisów tajnych. Kliknij przycisk dalej.
  3. W sekcji podmiotu zabezpieczeń wyszukaj według nazwy aplikacji, która została wygenerowana w kroku KROK-2. Kliknij przycisk dalej.

UWAGA: Upewnij się, że model uprawnień w konfiguracji dostępu Key Vault jest ustawiony na wartość "Zasady dostępu do magazynu"

KROK 7 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Działania alertów armis mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących) łatwo dostępne.., a także klucze autoryzacji interfejsu API Armis

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Armis.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Identyfikator obszaru roboczego nazwy funkcji Identyfikator obszaru roboczego Klucz obszaru roboczego Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Nazwa tabeli alertów armis
    Ważność nazwy tabeli działań armis (domyślnie: niska) Armis Schedule KeyVault Name Azure identyfikator klienta Azure identyfikator dzierżawy wpisu tajnego klienta

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Działania alertów armis za pomocą Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. ARMISXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybieranie języka Python 3.11

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj poszczególne z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): Adres URL armis klucza tajnego klucza obszaru roboczego identyfikatora obszaru roboczego Armis (https://< armis-instance.armis.com/api/v1/>) Nazwa tabeli alertów armis armis nazwa tabeli działania (domyślnie: niska) Armis Schedule KeyVault Nazwa Azure identyfikator klienta Azure identyfikator dzierżawy klucza tajnego klienta Identyfikator dzierżawyAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Urządzenia Armis (przy użyciu Azure Functions)

Obsługiwane przez:Armis Corporation

Łącznik urządzenia Armis umożliwia pozyskiwanie urządzeń Armis do Microsoft Sentinel za pośrednictwem interfejsu API REST armis. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją https://<YourArmisInstance>.armis.com/api/v1/docs interfejsu API. Łącznik zapewnia możliwość pobierania informacji o urządzeniu z platformy Armis. Usługa Armis używa istniejącej infrastruktury do odnajdywania i identyfikowania urządzeń bez konieczności wdrażania jakichkolwiek agentów. Pakiet Armis może również integrować się z istniejącymi narzędziami do zarządzania zabezpieczeniami & IT w celu identyfikowania i klasyfikowania każdego urządzenia, zarządzanego lub niezarządzanego w środowisku.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Armis_Devices_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz tajny armis . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API https://<YourArmisInstance>.armis.com/api/v1/doc

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API armis w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto, ArmisDevice

KROK 1 — Kroki konfiguracji interfejsu API Armis

Postępuj zgodnie z tymi instrukcjami, aby utworzyć klucz tajny interfejsu API Armis.

  1. Zaloguj się do wystąpienia usługi Armis
  2. Przejdź do pozycji Ustawienia —> API Management
  3. Jeśli klucz tajny nie został jeszcze utworzony, naciśnij przycisk Utwórz, aby utworzyć klucz tajny
  4. Aby uzyskać dostęp do klucza tajnego, naciśnij przycisk Pokaż
  5. Klucz tajny można teraz skopiować i użyć podczas konfiguracji łącznika urządzenia Armis

KROK 2 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych urządzenia Armis.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 3 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych urządzenia Armis. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych urządzenia Armis.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 4 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 5 . Tworzenie magazynu kluczy

Postępuj zgodnie z tymi instrukcjami, aby utworzyć nowy magazyn kluczy.

  1. W Azure Portal przejdź do pozycji Magazyny kluczy. Kliknij pozycję Utwórz.
  2. Wybierz pozycję Podsieć, Grupa zasobów i podaj unikatową nazwę magazynu kluczy.

UWAGA: Utwórz oddzielny magazyn kluczy dla każdego klucza interfejsu API w jednym obszarze roboczym.

KROK 6 — Tworzenie zasad dostępu w usłudze Keyvault

Postępuj zgodnie z tymi instrukcjami, aby utworzyć zasady dostępu w usłudze Keyvault.

  1. Przejdź do funkcji keyvaults, wybierz swój magazyn kluczy, przejdź do pozycji Zasady dostępu w panelu po lewej stronie. Kliknij pozycję Utwórz.
  2. Wybierz wszystkie klucze & uprawnienia wpisów tajnych. Kliknij przycisk dalej.
  3. W sekcji podmiotu zabezpieczeń wyszukaj według nazwy aplikacji, która została wygenerowana w kroku KROK-2. Kliknij przycisk dalej.

UWAGA: Upewnij się, że model uprawnień w konfiguracji dostępu Key Vault jest ustawiony na wartość "Zasady dostępu do magazynu"

KROK 7 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych urządzenia Armis mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów). Oraz klucze autoryzacji interfejsu API armis

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Armis.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Identyfikator obszaru roboczego nazwy funkcji Identyfikator obszaru roboczego Klucz obszaru roboczego Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Nazwa tabeli urządzeń Armis Schedule KeyVault Name Azure identyfikator klienta Azure identyfikator dzierżawy klucza tajnego klienta

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Poniższe instrukcje krok po kroku umożliwiają ręczne wdrożenie łącznika danych urządzenia Armis przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. ARMISXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybieranie języka Python 3.11

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): Adres URL armis klucza tajnego klucza obszaru roboczego identyfikatora obszaru roboczego Armis (https://< armis-instance.armis.com/api/v1/>) Nazwa tabeli urządzeń Armis Schedule KeyVault Name Azure identyfikator klienta Azure dziennik identyfikatora dzierżawy klucza tajnego klientaAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Alerty usługi Atlassian Beacon

Obsługiwane przez:DEFEND Ltd.

Atlassian Beacon to produkt w chmurze, który jest przeznaczony do inteligentnego wykrywania zagrożeń na platformach Atlassian (Jira, Confluence i Atlassian Administracja). Może to ułatwić użytkownikom wykrywanie, badanie i reagowanie na ryzykowne działania użytkowników dla pakietu produktów Atlassian. Rozwiązaniem jest niestandardowy łącznik danych firmy DEFEND Ltd., który służy do wizualizowania alertów pozyskanych z usługi Atlassian Beacon do Microsoft Sentinel za pośrednictwem aplikacji logiki.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
atlassian_beacon_alerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

1. Microsoft Sentinel

  1. Przejdź do nowo zainstalowanej aplikacji logiki "Atlassian Beacon Integration"

  2. Przejdź do pozycji "Projektant aplikacji logiki"

  3. Rozwiń węzeł "Po odebraniu żądania HTTP"

  4. Skopiuj adres URL "HTTP POST"

2. Atlassian Beacon

  1. Logowanie się do usługi Atlassian Beacon przy użyciu konta administratora

  2. Przejdź do sekcji "Przekazywanie SIEM" w obszarze USTAWIENIA

  3. Wklej skopiowany adres URL z aplikacji logiki w polu tekstowym

  4. Kliknij przycisk "Zapisz"

3. Testowanie i walidacja

  1. Logowanie się do usługi Atlassian Beacon przy użyciu konta administratora

  2. Przejdź do sekcji "Przekazywanie SIEM" w obszarze USTAWIENIA

  3. Kliknij przycisk "Testuj" tuż obok nowo skonfigurowanego elementu webhook

  4. Przejdź do Microsoft Sentinel

  5. Przejdź do nowo zainstalowanej aplikacji logiki

  6. Sprawdzanie przebiegu aplikacji logiki w obszarze "Historia przebiegów"

  7. Sprawdź dzienniki pod nazwą tabeli "atlassian_beacon_alerts_CL" w obszarze "Dzienniki"

  8. Jeśli reguła analityczna została włączona, powyższy alert testowy powinien utworzyć zdarzenie w Microsoft Sentinel



Atlassian Confluence Audit (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Atlassian Confluence Audit umożliwia pozyskiwanie zdarzeń rekordów inspekcji confluence do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ConfluenceAuditLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Połącz się z interfejsem API Atlassian Confluence, aby rozpocząć zbieranie dzienników inspekcji w Microsoft Sentinel

Aby włączyć łącznik Atlassian Confluence dla Microsoft Sentinel, kliknij, aby dodać organizację, wypełnij formularz poświadczeniami środowiska Confluence i kliknij pozycję Połącz. Wykonaj następujące kroki , aby utworzyć token interfejsu API.

  • Siatka łączników danych (konfigurowana w portalu)



Atlassian Jira Audit (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych inspekcji atlassian Jira zapewnia możliwość pozyskiwania zdarzeń rekordów inspekcji Jira do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Jira_Audit_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: JiraAccessToken, JiraUsername jest wymagane dla interfejsu API REST. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST Jira w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto, JiraAudit

KROK 1 — Kroki konfiguracji interfejsu API Jira

Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych obszaru roboczego należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych inspekcji Jira przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź JiraAccessToken, JiraUsername, JiraHomeSiteName (część krótkiej nazwy witryny, na przykład HOMESITENAME z https://community.atlassian.com) i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych inspekcji Jira z Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. JiraAuditXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Atlassian Jira Audit (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych inspekcji atlassian Jira zapewnia możliwość pozyskiwania zdarzeń rekordów inspekcji Jira do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Jira_Audit_v2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Aby włączyć łącznik Atlassian Jira dla Microsoft Sentinel, kliknij, aby dodać organizację, wypełnić formularz przy użyciu poświadczeń środowiska Jira i kliknij pozycję Połącz. Wykonaj następujące kroki , aby utworzyć token interfejsu API.

  • Siatka łączników danych (konfigurowana w portalu)



Dzienniki uwierzytelniania (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Auth0 umożliwia pozyskiwanie dzienników z interfejsu API usługi Auth0 do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API Auth0 do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Auth0Logs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

KROK 1 — Kroki konfiguracji interfejsu API zarządzania uwierzytelnianiem Auth0

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Na pulpicie nawigacyjnym usługi Auth0 przejdź do pozycji [Aplikacje>]
  2. Wybierz aplikację. Powinna to być aplikacja [Machine-to-Machine] skonfigurowana z uprawnieniami co najmniej [read:logs] i [read:logs_users].
  3. Kopiuj [Domena, ClientID, Klucz tajny klienta]
  • Podstawowy adres URL interfejsu API: (https://example.auth0.com)
  • Identyfikator klienta: (identyfikator klienta)
  • Klucz tajny klienta: (token interfejsu API)
  • Włączanie/wyłączanie połączenia



Automated Logic WebCTRL

Obsługiwane przez:Microsoft Corporation

Dzienniki inspekcji można przesyłać strumieniowo z serwera SQL WebCTRL hostowanego na maszynach z systemem Windows połączonych z Microsoft Sentinel. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Daje to wgląd w przemysłowe systemy sterowania, które są monitorowane lub kontrolowane przez aplikację WEBCTRL BAS.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Event Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

1. Zainstaluj i dołącz agenta firmy Microsoft dla systemu Windows.

Dowiedz się więcej o konfiguracji agenta i dołączaniu zdarzeń systemu Windows.

Możesz pominąć ten krok, jeśli już zainstalowano agenta firmy Microsoft dla systemu Windows

2. Konfigurowanie zadania systemu Windows w celu odczytywania danych inspekcji i zapisywania ich w zdarzeniach systemu Windows

Zainstaluj i skonfiguruj zaplanowane zadanie systemu Windows, aby odczytywać dzienniki inspekcji w języku SQL i zapisywać je jako zdarzenia systemu Windows. Te zdarzenia systemu Windows zostaną zebrane przez agenta i przekazane do Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich maszyn będą przechowywane w wybranym obszarze roboczym

2.1 Skopiuj pliki instalacyjne do lokalizacji na serwerze.

2.2 Zaktualizuj parametry skryptu ALC-WebCTRL-AuditPull.ps1 (skopiowane w powyższym kroku), takie jak nazwa docelowej bazy danych i identyfikatory zdarzeń systemu Windows. Więcej szczegółów można znaleźć w komentarzach w skryptycie.

2.3 Zaktualizuj ustawienia zadań systemu Windows w pliku ALC-WebCTRL-AuditPullTaskConfig.xml skopiowanym w powyższym kroku zgodnie z wymaganiami. Aby uzyskać więcej informacji, zapoznaj się z komentarzami w pliku.

2.4 Instalowanie zadań systemu Windows przy użyciu zaktualizowanych konfiguracji skopiowanych w powyższych krokach

  • Uruchom następujące polecenie w programie PowerShell z katalogu, w którym pliki instalacyjne są kopiowane w kroku 2.1: <wartość zmiennej podana w czasie instalacji>

3. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu zdarzeń.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, sprawdź poniższe kroki pod kątem wszelkich problemów z czasem wykonywania:

  1. Upewnij się, że zaplanowane zadanie zostało utworzone i jest uruchomione w harmonogramie zadań systemu Windows.

  2. Sprawdź błędy wykonywania zadań na karcie historia w harmonogramie zadań systemu Windows dla nowo utworzonego zadania w kroku 2.4

  3. Upewnij się, że tabela Inspekcja SQL składa się z nowych rekordów podczas uruchamiania zaplanowanego zadania systemu Windows.



Łącznik danych AWS EKS (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych AWS EKS umożliwia pozyskiwanie dzienników inspekcji z usługi Amazon Elastic Kubernetes Service do Microsoft Sentinel. Ten łącznik koncentruje się na dziennikach inspekcji EKS (format JSON), które zawierają szczegółowe informacje o żądaniach serwera interfejsu API, decyzjach dotyczących uwierzytelniania i działaniach klastra. Łącznik używa usług AWS SQS do otrzymywania powiadomień, gdy nowe pliki dziennika inspekcji są eksportowane do S3, zapewniając monitorowanie zabezpieczeń i śledzenie zgodności w czasie rzeczywistym dla klastrów Kubernetes.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSEKSLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

1. Wdrożenie platformy AWS CloudFormation

Użyj udostępnionych szablonów CloudFormation, aby skonfigurować środowisko platformy AWS do wysyłania dzienników z usługi AWS EKS do obszaru roboczego usługi Log Analytics.

Wdrażanie szablonów cloudformation na platformie AWS:

  1. Przejdź do stosów AWS CloudFormation Stacks.
  2. Kliknij pozycję Utwórz stos i wybierz pozycję Z nowymi zasobami.
  3. Wybierz pozycję Przekaż plik szablonu, a następnie kliknij pozycję Wybierz plik, aby przekazać odpowiedni szablon CloudFormation (szablon 1 i 2 poniżej).
  4. Postępuj zgodnie z monitami i kliknij przycisk Dalej , aby ukończyć tworzenie stosu.
  5. Po utworzeniu stosów przejdź do sekcji Dane wyjściowe . Uruchom skrypty w kroku 1 i 2 z sekcji danych wyjściowych, aby przesyłać strumieniowo dziennik z eks do sqs.
  6. W tej samej sekcji danych wyjściowych zanotuj adres URL kolejki ARN i SQS roli , które będą używane w łączniku connect.
  • Szablon 1: Wdrażanie dostawcy uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrożenie zasobów EKS platformy AWS: <wartość zmiennej podana w czasie instalacji>

2. Łączenie nowych modułów zbierających

Aby włączyć łącznik usługi AWS Security Hub dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.

3. Połącz

Włącz łącznik AWS EKS.

  • Włączanie/wyłączanie połączenia



Dzienniki dostępu do serwera AWS S3 (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Ten łącznik umożliwia pozyskiwanie dzienników dostępu serwera AWS S3 do Microsoft Sentinel. Te dzienniki zawierają szczegółowe rekordy żądań do zasobników S3, w tym typ żądania, dostępny zasób, informacje o żądaniu i szczegóły odpowiedzi. Te dzienniki są przydatne do analizowania wzorców dostępu, debugowania problemów i zapewniania zgodności zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSS3ServerAccess Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: S3 Bucket, Simple Queue Service (SQS), role IAM i zasady uprawnień.

Instrukcje dotyczące konfiguracji:

  1. Wdrożenie platformy AWS CloudFormation W celu skonfigurowania dostępu na platformie AWS wygenerowano dwa szablony w celu skonfigurowania środowiska platformy AWS w celu wysyłania dzienników z dzienników dostępu serwera usług AWS S3 do obszaru roboczego usługi Log Analytics.

Wdrażanie szablonów cloudformation na platformie AWS:

  1. Przejdź do stosów AWS CloudFormation Stacks.
  2. Kliknij pozycję Utwórz stos i wybierz pozycję Z nowymi zasobami.
  3. Wybierz pozycję Przekaż plik szablonu, a następnie kliknij pozycję Wybierz plik , aby przekazać odpowiedni udostępniony szablon CloudFormation.
  4. Postępuj zgodnie z monitami i kliknij przycisk Dalej , aby ukończyć tworzenie stosu.
  5. Po utworzeniu stosów zanotuj adres URL kolejki ARN i SQS roli.
  • Szablon 1: Wdrażanie dostawcy uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów dostępu serwera platformy AWS: <wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć łącznik dzienników dostępu serwera usług AWS S3 dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



Wyniki usługi AWS Security Hub (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Ten łącznik umożliwia pozyskiwanie wyników usługi AWS Security Hub, które są zbierane w zasobnikach AWS S3, do Microsoft Sentinel. Pomaga usprawnić proces monitorowania alertów zabezpieczeń i zarządzania nimi, integrując rozwiązania AWS Security Hub Findings z zaawansowanymi funkcjami wykrywania zagrożeń i reagowania na nie Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AWSSecurityHubFindings Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), role IAM i zasady uprawnień.

Instrukcje dotyczące konfiguracji:

  1. Wdrożenie AWS CloudFormation Użyj udostępnionych szablonów CloudFormation, aby skonfigurować środowisko platformy AWS do wysyłania dzienników z usługi AWS Security Hub do obszaru roboczego usługi Log Analytics.

Wdrażanie szablonów cloudformation na platformie AWS:

  1. Przejdź do stosów AWS CloudFormation Stacks.
  2. Kliknij pozycję Utwórz stos i wybierz pozycję Z nowymi zasobami.
  3. Wybierz pozycję Przekaż plik szablonu, a następnie kliknij pozycję Wybierz plik , aby przekazać odpowiedni udostępniony szablon CloudFormation.
  4. Postępuj zgodnie z monitami i kliknij przycisk Dalej , aby ukończyć tworzenie stosu.
  5. Po utworzeniu stosów zanotuj adres URL kolejki ARN i SQS roli.
  • Szablon 1: Wdrażanie dostawcy uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów usługi AWS Security Hub: <wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć łącznik usługi AWS Security Hub dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



działanie Azure

Obsługiwane przez:Microsoft Corporation

Azure Dziennik aktywności to dziennik subskrypcji, który zapewnia wgląd w zdarzenia na poziomie subskrypcji występujące w Azure, w tym zdarzenia z Azure Resource Manager danych operacyjnych, zdarzenia kondycji usługi, operacje zapisu wykonywane na zasobach w subskrypcji oraz stan działań wykonywanych w Azure. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureActivity Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

konto Azure Batch

Obsługiwane przez:Microsoft Corporation

Azure Batch Account jest unikatowo zidentyfikowaną jednostką w usłudze Batch. Większość rozwiązań usługi Batch używa usługi Azure Storage do przechowywania plików zasobów i plików wyjściowych, więc każde konto usługi Batch jest zwykle skojarzone z odpowiednim kontem magazynu. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych konta Azure Batch do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne konta Azure Batch z Sentinel.

Ten łącznik używa Azure Policy do zastosowania pojedynczej konfiguracji przesyłania strumieniowego dzienników konta Azure Batch do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z konta Azure Batch na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



Azure CloudNGFW by Palo Alto Networks

Obsługiwane przez:Palo Alto Networks

Zapora następnej generacji firmy Palo Alto Networks — Azure natywna usługa ISV — to zapora sieci Palo Alto Networks nowej generacji (NGFW) dostarczana jako usługa natywna dla chmury na Azure. Usługę Cloud NGFW można odnajdywać w witrynie Azure Marketplace i korzystać z niej w sieciach wirtualnych Azure. Dzięki usłudze Cloud NGFW możesz uzyskać dostęp do podstawowych funkcji NGFW, takich jak app-id, technologie oparte na filtrowaniu adresów URL. Zapewnia zapobieganie zagrożeniom i wykrywanie ich za pośrednictwem usług zabezpieczeń dostarczanych przez chmurę i sygnatur zapobiegania zagrożeniom. Łącznik umożliwia łatwe łączenie dzienników usługi Cloud NGFW z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację usługi Cloud NGFW for Azure.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
fluentbit_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Połącz usługę Cloud NGFW by Palo Alto Networks z Microsoft Sentinel

Włącz ustawienia dziennika dla wszystkich sieci NGFW w chmurze firmy Palo Alto Networks.

Wewnątrz zasobu usługi Cloud NGFW:

  1. Przejdź do pozycji Ustawienia dziennika ze strony głównej.
  2. Upewnij się, że pole wyboru Włącz ustawienia dziennika jest zaznaczone.
  3. Z listy rozwijanej Ustawienia dziennika wybierz odpowiedni obszar roboczy usługi Log Analytics.
  4. Potwierdź wybrane opcje i konfiguracje.
  5. Kliknij przycisk Zapisz , aby zastosować ustawienia.



Azure Cognitive Search

Obsługiwane przez:Microsoft Corporation

Azure Cognitive Search to usługa wyszukiwania w chmurze, która udostępnia deweloperom infrastrukturę, interfejsy API i narzędzia do tworzenia rozbudowanego środowiska wyszukiwania w prywatnej, heterogenicznej zawartości w aplikacjach internetowych, mobilnych i dla przedsiębiorstw. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Cognitive Search do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne Azure Cognitive Search z Sentinel.

Ten łącznik używa Azure Policy, aby zastosować pojedynczą Azure Cognitive Search konfigurację przesyłania strumieniowego dzienników do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z Azure Cognitive Search na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



Azure DDoS Protection

Obsługiwane przez:Microsoft Corporation

Nawiązywanie połączenia z dziennikami Azure DDoS Protection w warstwie Standardowa za pośrednictwem dzienników diagnostycznych publicznych adresów IP. Oprócz podstawowej ochrony przed atakami DDoS na platformie Azure DDoS Protection Standard zapewnia zaawansowane możliwości ograniczania ryzyka ataków sieciowych. Jest ona automatycznie dostosowywana w celu ochrony określonych zasobów Azure. Ochrona jest prosta do włączenia podczas tworzenia nowych sieci wirtualnych. Można to również zrobić po utworzeniu i nie wymaga żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Azure dzienników inspekcji devops (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Azure DevOps Audit Logs umożliwia pozyskiwanie zdarzeń inspekcji z usługi Azure DevOps do Microsoft Sentinel. Ten łącznik danych jest kompilowany przy użyciu Microsoft Sentinel Codeless Connector Framework, zapewniając bezproblemową integrację. Wykorzystuje interfejs API dzienników inspekcji Azure DevOps do pobierania szczegółowych zdarzeń inspekcji i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR. Te przekształcenia umożliwiają analizowanie odebranych danych inspekcji do tabeli niestandardowej podczas pozyskiwania, poprawiając wydajność zapytań, eliminując konieczność dodatkowej analizy. Za pomocą tego łącznika możesz uzyskać lepszy wgląd w środowisko Azure DevOps i usprawnić operacje zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ADOAuditLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure wymagania wstępne usługi DevOps: Upewnij się, że:
    1. Zarejestruj aplikację Entra w centrum Microsoft Entra Administracja w obszarze Rejestracje aplikacji.
    2. W obszarze "Uprawnienia interfejsu API" dodaj uprawnienia do elementu "Azure DevOps — vso.auditlog".
    3. W obszarze "Certyfikaty & wpisy tajne" — wygeneruj wartość "Klucz tajny klienta".
    4. W obszarze "Uwierzytelnianie" dodaj identyfikator URI przekierowania znajdujący się poniżej w odpowiednim polu.
    5. W ustawieniach Azure DevOps — włącz dziennik inspekcji i ustaw dla użytkownika pozycję Wyświetl dziennik inspekcji. Azure inspekcji devops.
    6. Upewnij się, że użytkownik przypisany do połączenia z łącznikiem danych ma jawnie ustawione uprawnienie Wyświetl dzienniki inspekcji na wartość Zezwalaj przez cały czas. To uprawnienie jest niezbędne do pomyślnego pozyskiwania dzienników. Jeśli uprawnienie zostanie odwołane lub nie zostanie udzielone, pozyskiwanie danych zakończy się niepowodzeniem lub zostanie przerwane.

Instrukcje dotyczące konfiguracji:

**Połącz się z usługą Azure DevOps, aby rozpocząć zbieranie dzienników inspekcji w Microsoft Sentinel. **

  1. Wprowadź zarejestrowaną aplikację.
  2. W sekcji "Przegląd" skopiuj identyfikator aplikacji (klienta).
  3. Wybierz przycisk "Punkty końcowe" i skopiuj wartość "Punkt końcowy autoryzacji OAuth 2.0 (wersja 2)" i wartość "Punkt końcowy tokenu OAuth 2.0 (wersja 2)".
  4. W sekcji "Certyfikaty & wpisy tajne" skopiuj wartość "Klucz tajny klienta" i zapisz ją bezpiecznie.
  5. Podaj wymagane informacje poniżej i kliknij pozycję "Połącz".



centrum zdarzeń Azure

Obsługiwane przez:Microsoft Corporation

Azure Event Hubs to platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń. Może odbierać i przetwarzać miliony zdarzeń na sekundę. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych usługi Azure Event Hub do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne usługi Azure Event Hub z Sentinel.

Ten łącznik używa Azure Policy do zastosowania pojedynczej konfiguracji przesyłania strumieniowego dzienników Azure Event Hub do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z centrum zdarzeń Azure na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



Azure Firewall

Obsługiwane przez:Microsoft Corporation

Połącz się z Azure Firewall. Azure Firewall jest zarządzaną, opartą na chmurze sieciową usługą zabezpieczeń, która chroni zasoby Azure Virtual Network. Jest to w pełni stanowa zapora jako usługa z wbudowaną wysoką dostępnością i nieograniczoną skalowalnością chmury. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie
AZFWApplicationRule Tak Tak
AZFWFlowTrace Tak Tak
AZFWFatFlow Tak Tak
AZFWNatRule Tak Tak
AZFWDnsQuery Tak Tak
AZFWIdpsSignature Tak Tak
AZFWInternalFqdnResolutionFailure Tak Tak
AZFWNetworkRule Tak Tak
AZFWThreatIntel Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Azure Key Vault

Obsługiwane przez:Microsoft Corporation

Azure Key Vault jest usługą w chmurze do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do nich dostępu. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, takie jak klucze interfejsu API, hasła, certyfikaty lub klucze kryptograficzne. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Key Vault do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Azure Kubernetes Service (AKS)

Obsługiwane przez:Microsoft Corporation

Azure Kubernetes Service (AKS) to w pełni zarządzana usługa aranżacji kontenerów typu open source, która umożliwia wdrażanie i skalowanie kontenerów platformy Docker i aplikacji opartych na kontenerach oraz zarządzanie nimi w środowisku klastra. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Kubernetes Service (AKS) do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Azure Logic Apps

Obsługiwane przez:Microsoft Corporation

Azure Logic Apps to oparta na chmurze platforma do tworzenia i uruchamiania zautomatyzowanych przepływów pracy, które integrują aplikacje, dane, usługi i systemy. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych usługi Azure Logic Apps do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne usługi Logic Apps z Sentinel.

Ten łącznik używa Azure Policy do zastosowania pojedynczej konfiguracji przesyłania strumieniowego dzienników usługi Azure Logic Apps do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z usługi Azure Logic Apps na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



Azure Resource Graph

Obsługiwane przez:Microsoft Corporation

łącznik Azure Resource Graph zapewnia bardziej szczegółowe informacje na temat zdarzeń Azure, uzupełniając szczegóły dotyczące subskrypcji Azure i zasobów Azure.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: uprawnienie roli właściciela dla subskrypcji Azure

Instrukcje dotyczące konfiguracji:

Łączenie Azure Resource Graph z Microsoft Sentinel



Azure Service Bus

Obsługiwane przez:Microsoft Corporation

Azure Service Bus jest w pełni zarządzanym brokerem komunikatów przedsiębiorstwa z kolejkami komunikatów i tematami publikowania i subskrybowania (w przestrzeni nazw). Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Service Bus do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne Azure Service Bus z Sentinel.

Ten łącznik używa Azure Policy do zastosowania pojedynczej konfiguracji przesyłania strumieniowego dzienników Azure Service Bus do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z Azure Service Bus na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



bazy danych Azure SQL

Obsługiwane przez:Microsoft Corporation

Azure SQL jest w pełni zarządzanym aparatem bazy danych PaaS (Platform-as-a-Service), który obsługuje większość funkcji zarządzania bazami danych, takich jak uaktualnianie, stosowanie poprawek, tworzenie kopii zapasowych i monitorowanie, bez konieczności angażowania użytkowników. Ten łącznik umożliwia przesyłanie strumieniowe dzienników inspekcji i diagnostyki baz danych Azure SQL do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

konto magazynu Azure

Obsługiwane przez:Microsoft Corporation

Azure Konto magazynu to rozwiązanie w chmurze dla nowoczesnych scenariuszy magazynowania danych. Zawiera wszystkie obiekty danych: obiekty blob, pliki, kolejki, tabele i dyski. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych kont usługi Azure Storage do obszaru roboczego Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach i wykrywanie złośliwych działań w organizacji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureMetrics Nie Nie
StorageBlobLogs Tak Tak
StorageQueueLogs Tak Tak
StorageTableLogs Tak Tak
StorageFileLogs Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne konta magazynu Azure z Sentinel.

Ten łącznik używa zestawu zasad Azure, aby zastosować konfigurację przesyłania strumieniowego dzienników do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Aby maksymalnie wykorzystać rejestrowanie diagnostyczne konta magazynu z konta magazynu Azure, zalecamy włączenie rejestrowania diagnostycznego ze wszystkich usług w ramach konta magazynu Azure — obiektu blob, kolejki, tabeli i pliku. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z konta magazynu Azure na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .

Stream dzienniki diagnostyczne z usługi Azure Storage Blob Service na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .

Stream dzienniki diagnostyczne z usługi kolejki magazynu Azure na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .

Stream dzienniki diagnostyczne z usługi tabel usługi Azure Storage na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .

Stream dzienniki diagnostyczne z usługi plików magazynu Azure na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



Azure Stream Analytics

Obsługiwane przez:Microsoft Corporation

Azure Stream Analytics to aparat analizy w czasie rzeczywistym i złożony aparat przetwarzania zdarzeń, który jest przeznaczony do analizowania i przetwarzania dużych ilości danych szybkiego przesyłania strumieniowego z wielu źródeł jednocześnie. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych centrum analizy Azure Stream do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad

Instrukcje dotyczące konfiguracji:

Połącz dzienniki diagnostyczne usługi Azure Stream Analytics z Sentinel.

Ten łącznik używa Azure Policy do zastosowania pojedynczej konfiguracji przesyłania strumieniowego dzienników usługi Azure Stream Analytics do kolekcji wystąpień zdefiniowanej jako zakres. Postępuj zgodnie z poniższymi instrukcjami, aby utworzyć i zastosować zasady do wszystkich bieżących i przyszłych wystąpień. Pamiętaj, że dla tego typu zasobu mogą już być już aktywne zasady.

Stream dzienniki diagnostyczne z usługi Azure Stream Analytics na dużą skalę

**Uruchom kreatora przypisywania Azure Policy i wykonaj kroki. **

  1. Na karcie Podstawy kliknij przycisk z trzema kropkami w obszarze Zakres, aby wybrać subskrypcję.
  2. Na karcie Parametry wybierz obszar roboczy Microsoft Sentinel z listy rozwijanej obszaru roboczego usługi Log Analytics i pozostaw oznaczone jako "True" wszystkie kategorie dzienników, które chcesz pozyskiwać.
  3. Aby zastosować zasady do istniejących zasobów, zaznacz pole wyboru Utwórz zadanie korygowania na karcie Korygowanie .



Azure Web Application Firewall (Zapora aplikacji internetowej)

Obsługiwane przez:Microsoft Corporation

Połącz się z Azure Web Application Firewall (WAF) dla Application Gateway, front door lub CDN. Ta zapora aplikacji internetowej chroni aplikacje przed typowymi lukami w zabezpieczeniach sieci Web, takimi jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami, oraz umożliwia dostosowanie reguł w celu zmniejszenia liczby wyników fałszywie dodatnich. Instrukcje przesyłania strumieniowego dzienników zapory aplikacji internetowej firmy Microsoft do Microsoft Sentinel są wyświetlane podczas procesu instalacji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

BETTER Mobile Threat Defense (MTD)

Obsługiwane przez:Better Mobile Security Inc.

Łącznik BETTER MTD Connector umożliwia przedsiębiorstwom łączenie swoich lepszych wystąpień MTD z Microsoft Sentinel, wyświetlanie danych na pulpitach nawigacyjnych, tworzenie niestandardowych alertów, używanie ich do wyzwalania podręczników i rozszerzanie możliwości wyszukiwania zagrożeń. Daje to użytkownikom więcej wglądu w urządzenia przenośne w organizacji i możliwość szybkiej analizy bieżącej kondycji zabezpieczeń urządzeń przenośnych, co zwiększa ich ogólne możliwości secops.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BetterMTDIncidentLog_CL Nie Nie
BetterMTDDeviceLog_CL Nie Nie
BetterMTDNetflowLog_CL Nie Nie
BetterMTDAppLog_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

  1. W konsoli Better MTD kliknij pozycję Integracja na pasku bocznym.
  2. Wybierz kartę Inne .
  3. Kliknij przycisk DODAJ KONTO i wybierz pozycję Microsoft Sentinel z dostępnych integracji.
  4. Utwórz integrację:
  • ustaw ACCOUNT NAME na opisową nazwę, która identyfikuje integrację, a następnie kliknij przycisk Dalej
  • Wprowadź wartości i WORKSPACE IDPRIMARY KEY z poniższych pól, kliknij przycisk Zapisz
  • Kliknij pozycję Gotowe
  1. Konfiguracja zasad zagrożeń (które zdarzenia powinny być zgłaszane):Microsoft Sentinel
  • W konsoli Better MTD kliknij pozycję Zasady na pasku bocznym
  • Kliknij przycisk Edytuj używane zasady.
  • Dla każdego typu zdarzeń, które chcesz zarejestrować, przejdź do pola Wyślij do integracji i wybierz pozycję Sentinel
  1. Aby uzyskać dodatkowe informacje, zapoznaj się z naszą dokumentacją.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



BeyondTrust PM Cloud

Obsługiwane przez:BeyondTrust

Łącznik danych BeyondTrust Privilege Management Cloud zapewnia możliwość pozyskiwania dzienników inspekcji aktywności i dzienników zdarzeń klienta z chmury BeyondTrust PM Cloud do Microsoft Sentinel.

Ten łącznik używa Azure Functions do ściągania danych z interfejsu API chmury BeyondTrust PM i pozyskiwania ich do niestandardowych tabel usługi Log Analytics.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BeyondTrustPM_ActivityAudits_CL Tak Tak
BeyondTrustPM_ClientEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API chmury BeyondTrust PM: wymagane są identyfikator klienta beyondtrust PM Cloud OAuth i klucz tajny klienta. Konto interfejsu API wymaga następujących uprawnień: Inspekcja — Tylko do odczytu i Raportowanie — tylko do odczytu

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do łączenia się z interfejsem API chmury BeyondTrust PM w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

UWAGA: Ten łącznik używa przepływu poświadczeń klienta OAuth 2.0 do uwierzytelniania za pomocą interfejsu API chmury BeyondTrust PM.

KROK 1 — Uzyskiwanie poświadczeń interfejsu API chmury BeyondTrust PM

Utwórz konto interfejsu API w wystąpieniu chmury BeyondTrust PM przy użyciu poświadczeń interfejsu API OAuth (identyfikator klienta i klucz tajny klienta). Konto interfejsu API wymaga następujących uprawnień:

  • Inspekcja — tylko do odczytu
  • Raportowanie — tylko do odczytu

KROK 2 — Wdrażanie łącznika i skojarzonej funkcji Azure

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych BeyondTrust PM Cloud przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    portal.azure.com

  2. Wybierz preferowaną subskrypcję, grupę zasobów (musi zawierać obszar roboczy usługi Log Analytics) i lokalizację.

  3. Wprowadź wymagane parametry:

    • Nazwa obszaru roboczego: nazwa obszaru roboczego usługi Log Analytics (np. beyondtrust-pmcloud)
    • BeyondTrust PM Cloud Base URL: Adres URL dzierżawy (np. https://yourcompany.beyondtrustcloud.com)
    • BeyondTrust Client ID: OAuth Client ID from Step 1 (Identyfikator klienta usługi BeyondTrust: identyfikator klienta OAuth z kroku 1)
    • Klucz tajny klienta BeyondTrust: klucz tajny klienta OAuth z kroku 1
    • Interwał sondowania inspekcji działań: jak często zbierać inspekcje działań (domyślnie: 15 minut)
    • Interwał sondowania zdarzeń klienta: jak często zbierać zdarzenia klienta (domyślnie: 5 minut)
    • Poziom dziennika: poziom rejestrowania na potrzeby rozwiązywania problemów (domyślnie: informacje)
    • Ramy czasowe danych historycznych: jak daleko wstecz, aby zebrać dane przy pierwszym uruchomieniu (domyślnie: 1 dzień)

  4. Przejrzyj ustawienia zaawansowane (jednostka SKU planu hostingu, typ konta magazynu) i dostosuj je w razie potrzeby.

  5. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  6. Kliknij pozycję Kup , aby wdrożyć.

  7. Wdrożenie tworzy wszystkie wymagane zasoby: aplikację funkcji, konto magazynu, punkt końcowy zbierania danych, reguły zbierania danych i niestandardowe tabele usługi Log Analytics.

  8. Dane powinny zacząć przepływać w ciągu 15–30 minut od wdrożenia.



Łącznik DSPM BigID

Obsługiwane przez:BigID

Łącznik danych bigid DSPM zapewnia możliwość pozyskiwania DSPM bigidów z obiektami, których dotyczy problem, i informacji o źródłach danych do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BigIDDSPMCatalog_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do interfejsu API DSPM BigID: wymagany jest dostęp do interfejsu API DSPM BigID za pośrednictwem tokenu BigID.

Instrukcje dotyczące konfiguracji:

Połącz się z interfejsem API DSPM BigID, aby rozpocząć zbieranie przypadków DSPM BigID i obiektów, których dotyczy problem, w Microsoft Sentinel

Podaj nazwę domeny BigID, taką jak "customer.bigid.cloud" i token BigID. Wygeneruj token w konsoli BigID za pomocą pozycji Ustawienia —> Zarządzanie dostępem —> Użytkownicy —> wybierz użytkownika i wygeneruj token.

  • Nazwa FQDN BigID: (BigID FQDN)
  • Token BigID: (token BigID)
  • Włączanie/wyłączanie połączenia



Bitglass (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych bitglass zapewnia możliwość pobierania dzienników zdarzeń zabezpieczeń usług Bitglass i innych zdarzeń do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BitglassLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: BitglassToken i BitglassServiceURL są wymagane do wykonywania wywołań interfejsu API.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Azure Blob Storage w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami aplikacji Bitglass wdrożonej za pomocą rozwiązania Microsoft Sentinel.

KROK 1 . Kroki konfiguracji interfejsu API pobierania dzienników aplikacji Bitglass

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Skontaktuj się z pomocą techniczną aplikacji Bitglass i uzyskaj ntation BitglassToken i BitglassServiceURL ].
  2. Zapisz poświadczenia do użycia w łączniku danych.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych usługi Bitglass należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Bitglass przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź bitglassToken, BitglassServiceURL i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych usługi Bitglass przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. BitglassXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Dzienniki zdarzeń Bitwarden

Obsługiwane przez:Bitwarden Inc

Ten łącznik zapewnia wgląd w działania organizacji Bitwarden, takie jak aktywność użytkownika (zalogowane, zmienione hasło, 2fa itp.), działanie szyfrowania (utworzone, zaktualizowane, usunięte, udostępnione itp.), działanie kolekcji, działanie organizacji i inne.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BitwardenEventLogs Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Łączenie dzienników zdarzeń Bitwarden z Microsoft Sentinel

Klucz interfejsu API można znaleźć w konsoli administracyjnej organizacji Bitwarden. Aby uzyskać więcej informacji , zobacz dokumentację rozwiązania Bitwarden . Serwery Bitwarden hostowane przez siebie mogą wymagać ponownej konfiguracji adresu URL instalacji.



blacklens.io

Obsługiwane przez:blacklens.io Support

Łącznik danych blacklens.io umożliwia pozyskiwanie alertów usługi Attack Surface Management z blacklens.io do Microsoft Sentinel przy użyciu aplikacji logiki opartej na elementach webhook i interfejsu API pozyskiwania dzienników Azure Monitor.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
blacklens_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure subskrypcji: uprawnienia współautora lub właściciela w grupie zasobów są wymagane do wdrożenia infrastruktury pozyskiwania danych (punkt końcowy zbierania danych, reguła zbierania danych, tabela niestandardowa i aplikacja logiki).
  • konto blacklens.io: wymagane jest konto blacklens.io z funkcjami integracji elementu webhook.

Instrukcje dotyczące konfiguracji:

Krok 1. Wdrażanie infrastruktury pozyskiwania danych

Ten krok umożliwia wdrożenie wymaganych zasobów Azure: punktu końcowego zbierania danych, reguły zbierania danych, niestandardowej tabeli usługi Log Analytics (blacklens_CL) i aplikacji logiki wyzwalanej przez element webhook.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    portal.azure.com

  2. Wybierz subskrypcję, grupę zasobów i lokalizację, w której znajduje się obszar roboczy Microsoft Sentinel.

  3. Wprowadź nazwę obszaru roboczego usługi Log Analytics.

  4. Kliknij pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz.

Krok 2. Kopiowanie adresu URL elementu webhook

  1. Po pomyślnym wdrożeniu kliknij kartę Dane wyjściowe na stronie wdrożenia.
  2. Skopiuj wartość webhookUrl .

Alternatywnie przejdź do obszaru Omówienie usługi Logic Apps >la-blacklens-alert-log-ingestion> i skopiuj adres URL przepływu pracy.

Krok 3. Konfigurowanie blacklens.io

  1. Zaloguj się do portalu blacklens.io.
  2. Przejdź do ustawień integracji elementu webhook.
  3. Wklej adres URL elementu webhook skopiowany w kroku 2.
  4. Zapisz konfigurację.
  5. Połącz integrację elementu webhook z co najmniej jedną zasadą powiadomień , aby alerty były wysyłane do elementu webhook.

Po kilku minutach w Microsoft Sentinel powinno pojawić się zdarzenie testowe.



Box (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Box zapewnia możliwość pozyskiwania zdarzeń box enterprise do Microsoft Sentinel przy użyciu interfejsu API REST box. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Box .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BoxEvents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API box: plik JSON konfiguracji box jest wymagany do uwierzytelniania JWT interfejsu API REST box. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie JWT.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST box w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik zależy od analizatora opartego na funkcji Kusto, który działa zgodnie z oczekiwaniami boxEvents, który jest wdrażany za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Konfiguracja kolekcji zdarzeń box

Zapoznaj się z dokumentacją , aby skonfigurować uwierzytelnianie JWT i uzyskać plik JSON z poświadczeniami.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Box należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępny plik konfiguracji box JSON.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Box przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych box przy użyciu Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Zdarzenia box (CCF)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Box zapewnia możliwość pozyskiwania zdarzeń box enterprise do Microsoft Sentinel przy użyciu interfejsu API REST box. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Box .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
BoxEventsV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia interfejsu API box: interfejs API box wymaga identyfikatora klienta usługi Box App i klucza tajnego klienta do uwierzytelnienia. Aby uzyskać więcej informacji, zobacz Udzielanie poświadczeń klienta
  • Box Enterprise ID: Do nawiązania połączenia jest wymagany identyfikator Box Enterprise. Zobacz dokumentację, aby znaleźć identyfikator przedsiębiorstwa

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa platformy Codeless Connecor Platform (CCF) do łączenia się z interfejsem API REST box w celu ściągania dzienników do Microsoft Sentinel.

UWAGA: Ten łącznik zależy od analizatora opartego na funkcji Kusto, który działa zgodnie z oczekiwaniami boxEvents, który jest wdrażany za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Tworzenie aplikacji niestandardowej box

Zobacz dokumentację dotyczącą konfigurowania uwierzytelniania poświadczeń klienta

KROK 2 — Pobieranie wartości identyfikatora klienta i klucza tajnego klienta

Może być konieczne skonfigurowanie usługi 2FA w celu pobrania wpisu tajnego.

KROK 3 — Identyfikator rozwiązania Grab Box Enterprise z konsoli box Administracja

Zobacz dokumentację, aby znaleźć identyfikator przedsiębiorstwa

Połącz się z usługą Box, aby rozpocząć zbieranie dzienników zdarzeń w celu Microsoft Sentinel

Podaj wymagane wartości poniżej:

  • Box Enterprise ID: (123456)



łącznik Check Point CloudGuard CNAPP dla Microsoft Sentinel

Obsługiwane przez:Check Point

Łącznik danych CloudGuard umożliwia pozyskiwanie zdarzeń zabezpieczeń z interfejsu API CloudGuard do Microsoft Sentinel ™ przy użyciu struktury łączników bezkodowych Microsoft Sentinel. Łącznik obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują przychodzące dane zdarzeń zabezpieczeń w kolumny niestandardowe. Ten proces wstępnej analizy eliminuje potrzebę analizowania czasu wykonywania zapytań, co zapewnia lepszą wydajność zapytań dotyczących danych.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CloudGuard_SecurityEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Klucz interfejsu API usługi CloudGuard: zapoznaj się z instrukcjami podanymi tutaj , aby wygenerować klucz interfejsu API.

Instrukcje dotyczące konfiguracji:

Łączenie z Microsoft Sentinel zdarzeń zabezpieczeń usługi CloudGuard

Aby włączyć łącznik CloudGuard dla Microsoft Sentinel, wprowadź wymagane informacje poniżej i wybierz pozycję Połącz.

  • Identyfikator klucza interfejsu API: (api_key)
  • Klucz tajny interfejsu API: (api_secret)
  • Adres URL punktu końcowego usługi CloudGuard: (np. https://api.dome9.com)
  • Filtr: (Wklej filtr z usługi CloudGuard)
  • Włączanie/wyłączanie połączenia



łącznik alertów Check Point Cyberint (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Cyberint

Cyberint, firma Check Point, zapewnia integrację Microsoft Sentinel w celu usprawnienia krytycznych alertów i wprowadzenia wzbogaconej analizy zagrożeń z rozwiązania Infinity External Risk Management do Microsoft Sentinel. Upraszcza to proces śledzenia stanu biletów za pomocą automatycznych aktualizacji synchronizacji w różnych systemach. Korzystając z tej nowej integracji dla Microsoft Sentinel, istniejący klienci Cyberint i Microsoft Sentinel mogą łatwo ściągać dzienniki na podstawie ustaleń Firmy Cyberint na platformę Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
argsentdc_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Check Point klucz interfejsu API Cyberint, adres URL argos i nazwa klienta: klucz interfejsu API łącznika, adres URL argos i nazwa klienta są wymagane

Instrukcje dotyczące konfiguracji:

Łączenie alertów cyberintu punktów kontrolnych z Microsoft Sentinel

Aby włączyć łącznik, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

Adres URL rozwiązania Argos — adres URL interfejsu API Cyberint dla dzierżawy (np. https://your_tenant.cyberint.io) Token interfejsu API — Nazwa klienta tokenu dostępu interfejsu API Cyberint — nazwa firmy (klienta) skojarzona ze środowiskami wystąpienia Cyberint — rozdzielana przecinkami lista środowisk do pobrania. Jeśli są puste, wszystkie środowiska są pobierane.\n\nWażność — rozdzielana przecinkami lista ważności do pobrania (niska, średnia, wysoka, very_high). Jeśli są puste, wszystkie ważności są pobierane.\n\nInterwał sondowania — jak często sondować dla nowych alertów, w minutach (domyślnie: 5)\n\nDołączanie załączników CSV jako kodu JSON — czy dołączać załączniki CSV jako zawartość JSON w alertach (domyślnie: false)

  • Adres URL argos: (https://your_tenant.cyberint.io)
  • Token interfejsu API: (token dostępu interfejsu API Cyberint)
  • Nazwa klienta: (nazwa firmy (klienta) skojarzona z wystąpieniem cyberintu)
  • Środowiska: (lista rozdzielana przecinkami (np. produkcyjna, przejściowa))
  • Ważność: (lista rozdzielana przecinkami (np. niska, średnia, wysoka, very_high))
  • Interwał sondowania (minuty): (częstotliwość sondowania w minutach)
  • Dołącz załączniki CSV jako kod JSON: (prawda lub fałsz)
  • Włączanie/wyłączanie połączenia



łącznik Check Point Cyberint IOC

Obsługiwane przez:Cyberint

Cyberint, firma Check Point, zapewnia integrację Microsoft Sentinel w celu pozyskiwania wskaźników kompromisu (IOCs) z rozwiązania Infinity External Risk Management do Microsoft Sentinel. Ten łącznik automatycznie ściąga dzienny kanał informacyjny MKOl — w tym złośliwe adresy IP, domeny, adresy URL i skróty plików — wzbogacony o kontekst zagrożenia, taki jak ważność, zaufanie i wykryte działania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
iocsent_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Check Point klucz interfejsu API Cyberint, adres URL argos i nazwa klienta: klucz interfejsu API łącznika, adres URL argos i nazwa klienta są wymagane

Instrukcje dotyczące konfiguracji:

Łączenie kanału informacyjnego Check Point Cyberint IOC z Microsoft Sentinel

Aby włączyć łącznik, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

Adres URL rozwiązania Argos — adres URL interfejsu API Cyberint dla dzierżawy (np. https://your_tenant.cyberint.io) Token interfejsu API — Nazwa klienta tokenu dostępu interfejsu API Cyberint — nazwa firmy (klienta) skojarzona z wystąpieniem cyberintu

  • Adres URL argos: (https://your-company.cyberint.io)
  • Token interfejsu API: (token interfejsu API)
  • Nazwa klienta: (nazwa firmy (klienta) skojarzona z wystąpieniem cyberintu)
  • Włączanie/wyłączanie połączenia



Cisco ASA/FTD za pośrednictwem ama

Obsługiwane przez:Microsoft Corporation

Łącznik zapory Cisco ASA umożliwia łatwe łączenie dzienników usługi Cisco ASA z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Aby zbierać dane z maszyn wirtualnych innych niż Azure, muszą mieć zainstalowane i włączone Azure Arc. Dowiedz się więcej

Instrukcje dotyczące konfiguracji:

Włączanie reguły zbierania danych

Dzienniki zdarzeń cisco ASA/FTD są zbierane tylko od agentów Linux.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający Cisco ASA/FTD:

  • Wartość: <wartość zmiennej podana w czasie instalacji>



Cisco Cloud Security (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Rozwiązanie Cisco Cloud Security dla Microsoft Sentinel umożliwia pozyskiwanie dzienników Cisco Secure Access i Cisco Umbrellaprzechowywanych w usłudze Amazon S3 do Microsoft Sentinel przy użyciu interfejsu API REST usługi Amazon S3. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją zarządzania dziennikami usługi Cisco Cloud Security .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cisco_Umbrella_dns_CL Tak Tak
Cisco_Umbrella_proxy_CL Tak Tak
Cisco_Umbrella_ip_CL Tak Tak
Cisco_Umbrella_cloudfirewall_CL Tak Tak
Cisco_Umbrella_firewall_CL Tak Tak
Cisco_Umbrella_dlp_CL Nie Nie
Cisco_Umbrella_ravpnlogs_CL Nie Nie
Cisco_Umbrella_audit_CL Nie Nie
Cisco_Umbrella_ztna_CL Nie Nie
Cisco_Umbrella_intrusion_CL Nie Nie
Cisco_Umbrella_ztaflow_CL Nie Nie
Cisco_Umbrella_fileevent_CL Nie Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST platformy Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika usługi AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST usługi Amazon S3 w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

UWAGA: Ten łącznik został zaktualizowany w celu obsługi schematu dziennika usługi Cisco Cloud Security w wersji 14.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją Azure Functions.

UWAGA: Ten łącznik używa analizatora opartego na funkcji Kusto do normalizacji pól. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto Cisco_Umbrella.

KROK 1 — Konfiguracja kolekcji dzienników usługi Cisco Cloud Security

Zapoznaj się z dokumentacją i postępuj zgodnie z instrukcjami dotyczącymi konfigurowania rejestrowania i uzyskiwania poświadczeń.

KROK 2 — Wybierz jedną z dwóch następujących opcji wdrażania, aby wdrożyć łącznik i skojarzone Azure Functions

WAŻNE: Przed wdrożeniem łącznika danych Cisco Cloud Security należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także poświadczenia autoryzacji interfejsu API REST usługi Amazon S3, które są łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Cisco Cloud Security przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey Uwaga: dla zestawu S3Bucket użyj wartości, którą cisco określa jako ścieżkę danych zasobnika S3 i dodaj znak /(ukośnik) na końcu wartości

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych cisco Cloud Security przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do Azure Functions opracowywania.

  1. Pobierz plik aplikacji Azure Functions. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Cisco Cloud Security (przy użyciu elastycznego planu Premium) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Cisco Umbrella zapewnia możliwość pozyskiwania zdarzeń Aplikacji Cisco Umbrella przechowywanych w usłudze Amazon S3 do Microsoft Sentinel przy użyciu interfejsu API REST usługi Amazon S3. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją zarządzania dziennikami aplikacji Cisco Umbrella .

UWAGA: Ten łącznik danych korzysta z planu Azure Functions Premium, aby umożliwić bezpieczne pozyskiwanie i poniesie dodatkowe koszty. Więcej informacji o cenach można znaleźć tutaj.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cisco_Umbrella_dns_CL Tak Tak
Cisco_Umbrella_proxy_CL Tak Tak
Cisco_Umbrella_ip_CL Tak Tak
Cisco_Umbrella_cloudfirewall_CL Tak Tak
Cisco_Umbrella_firewall_CL Tak Tak
Cisco_Umbrella_dlp_CL Nie Nie
Cisco_Umbrella_ravpnlogs_CL Nie Nie
Cisco_Umbrella_audit_CL Nie Nie
Cisco_Umbrella_ztna_CL Nie Nie
Cisco_Umbrella_intrusion_CL Nie Nie
Cisco_Umbrella_ztaflow_CL Nie Nie
Cisco_Umbrella_fileevent_CL Nie Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST platformy Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika usługi AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.
  • uprawnienia Virtual Network (w przypadku dostępu prywatnego): w przypadku dostępu do konta magazynu prywatnego wymagane są uprawnienia Współautor sieci w Virtual Network i podsieci. Podsieć musi być delegowana do witryny Microsoft.Web/serverFarms na potrzeby integracji sieci wirtualnej aplikacji funkcji.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST usługi Amazon S3 w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

UWAGA: Ten łącznik został zaktualizowany w celu obsługi schematu dziennika aplikacji Cisco Umbrella w wersji 14.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją Azure Functions.

UWAGA: Ten łącznik używa analizatora opartego na funkcji Kusto do normalizacji pól. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto Cisco_Umbrella.

KROK 1 — Wymagania wstępne dotyczące sieci dla dostępu prywatnego

WAŻNE: Podczas wdrażania z dostępem do prywatnego konta magazynu upewnij się, że zostały spełnione następujące wymagania wstępne dotyczące sieci:

  • Virtual Network: istniejący Virtual Network (sieć wirtualna) musi być dostępny
  • Podsieć: Dedykowana podsieć w sieci wirtualnej musi zostać delegowana do witryny Microsoft.Web/serverFarms na potrzeby integracji sieci wirtualnej aplikacji funkcji
  • Delegowanie podsieci: skonfiguruj delegowanie podsieci przy użyciu portalu Azure, szablonu usługi ARM lub interfejsu wiersza polecenia Azure:
    • portal Azure: przejdź do obszaru Sieci wirtualne → Wybierz podsieci → sieci wirtualnej → Wybierz podsieć → Delegowanie podsieci do usługi → wybierz pozycję Microsoft.Web/serverFarms
    • interfejs wiersza polecenia Azure:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
  • Prywatne punkty końcowe: wdrożenie utworzy prywatne punkty końcowe dla usług konta magazynu (obiekt blob, plik, kolejka, tabela) w tej samej podsieci

KROK 2 — Konfiguracja kolekcji dzienników Aplikacji Cisco Umbrella

Zapoznaj się z dokumentacją i postępuj zgodnie z instrukcjami dotyczącymi konfigurowania rejestrowania i uzyskiwania poświadczeń.

KROK 3 — wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzone Azure Functions

WAŻNE: Przed wdrożeniem łącznika danych Aplikacji Cisco Umbrella masz identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także poświadczenia autoryzacji interfejsu API REST usługi Amazon S3, które są łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Aplikacji Cisco Umbrella przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey

  4. W przypadku wdrożenia dostępu prywatnego: wprowadź również istniejąceVnetName, existingVnetResourceGroupName i existingSubnetName (upewnij się, że podsieć jest delegowana do witryny Microsoft.Web/serverFarms) Uwaga: W przypadku zestawu S3Bucket użyj wartości, którą cisco określa jako ścieżkę danych zasobnika S3 i dodaj znak /(ukośnik) na końcu wartości

  5. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  6. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Aplikacji Cisco Umbrella przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do Azure Functions opracowywania.

  1. Pobierz plik aplikacji Azure Functions. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Cisco Duo Security (przy użyciu Azure Functions)

Obsługiwane przez:Cisco Systems

Łącznik danych Cisco Duo Security umożliwia pozyskiwanie dzienników uwierzytelniania, dzienników administratora, dzienników telefonii, dzienników rejestracji offline i zdarzeń monitora zaufania do Microsoft Sentinel przy użyciu interfejsu API Administracja Cisco Duo. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CiscoDuo_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API Cisco Duo: poświadczenia interfejsu API Cisco Duo z uprawnieniami Udzielanie dziennika odczytu są wymagane dla interfejsu API Cisco Duo. Zapoznaj się z dokumentacją , aby dowiedzieć się więcej na temat tworzenia poświadczeń interfejsu API Cisco Duo.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do łączenia się z interfejsem API Cisco Duo w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami aplikacji CiscoDuo wdrożonej za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Uzyskiwanie poświadczeń interfejsu API Administracja Cisco Duo

  1. Postępuj zgodnie z instrukcjami , aby uzyskać klucz integracji, klucz tajny i nazwę hosta interfejsu API. Użyj opcji Udziel uprawnień dziennika odczytu w 4. kroku instrukcji.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępne Azure Blob Storage parametry połączenia i nazwę kontenera.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź pozycje Cisco Duo Integration Key, Cisco Duo Secret Key, Cisco Duo API Hostname, Cisco Duo Log Types, Microsoft Sentinel Workspace Id, Microsoft Sentinel Shared Key

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych za pomocą Azure Functions (Wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Cisco ETD (przy użyciu Azure Functions)

Obsługiwane przez:N/A

Łącznik pobiera dane z interfejsu API ETD na potrzeby analizy zagrożeń

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CiscoETD_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Email interfejs API usługi Threat Defense, klucz interfejsu API, identyfikator klienta i klucz tajny: upewnij się, że masz klucz interfejsu API, identyfikator klienta i klucz tajny.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API ETD w celu ściągnięcia dzienników do Microsoft Sentinel.

Wykonaj kroki wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych ETD należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Cisco ETD przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź wartości WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region

  4. Kliknij pozycję Utwórz , aby wdrożyć.



Cisco Meraki (przy użyciu interfejsu API REST)

Obsługiwane przez:Microsoft Corporation

Łącznik Cisco Meraki umożliwia łatwe łączenie z Microsoft Sentinel zdarzeń organizacji Cisco Meraki (zdarzenia zabezpieczeń, zmiany konfiguracji i żądania interfejsu API). Łącznik danych używa interfejsu API REST Cisco Meraki do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują odebrane dane i pozyskują dane do karty ASIM i tabel niestandardowych w obszarze roboczym usługi Log Analytics. Ten łącznik danych korzysta z możliwości, takich jak filtrowanie czasu pozyskiwania oparte na modelu DCR, normalizacja danych.

Obsługiwany schemat ASIM:

  1. Sesja sieciowa
  2. Sesja internetowa
  3. Zdarzenie inspekcji

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ASimNetworkSessionLogs Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Cisco Meraki REST API Key: Włącz dostęp do interfejsu API w aplikacji Cisco Meraki i wygeneruj klucz interfejsu API. Aby uzyskać więcej informacji, zapoznaj się z oficjalną dokumentacją aplikacji Cisco Meraki.
  • Identyfikator organizacji Cisco Meraki: uzyskaj identyfikator organizacji Cisco Meraki w celu pobrania zdarzeń zabezpieczeń. Wykonaj kroki opisane w dokumentacji , aby uzyskać identyfikator organizacji przy użyciu klucza interfejsu API Meraki uzyskanego w poprzednim kroku.

Instrukcje dotyczące konfiguracji:

Łączenie zdarzeń Cisco Meraki z Microsoft Sentinel

Obecnie ten łącznik umożliwia pozyskiwanie zdarzeń z następującego punktu końcowego interfejsu API REST rozwiązania Cisco Meraki :

  1. Pobieranie zdarzeń zabezpieczeń urządzenia organizacji Ten łącznik analizuje zdarzenia alertów usług IDS w tabeli ASimNetworkSessionLogs i zeskanowanych plikach do tabeli ASimWebSessionLogs.
  2. Pobieranie żądań interfejsu API organizacji Ten łącznik analizuje zdarzenia w tabeli ASimWebSessionLogs.
  3. Pobieranie zmian konfiguracji organizacji Ten łącznik analizuje zdarzenia w tabeli ASimAuditEventLogs.
  • Identyfikator organizacji: (OrganizationId)
  • Klucz interfejsu API: (ApiKey)
  • Włączanie/wyłączanie połączenia



Cisco Secure Endpoint (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych bezpiecznego punktu końcowego Cisco (dawniej AMP for Endpoints) zapewnia możliwość pozyskiwania dzienników inspekcji i zdarzeń bezpiecznego punktu końcowego cisco do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CiscoSecureEndpointAuditLogsV2_CL Tak Tak
CiscoSecureEndpointEventsV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Cisco Secure Endpoint API Credentials/Regions: Aby utworzyć poświadczenia interfejsu API i poznać regiony, postępuj zgodnie z linkiem do dokumentu podanym tutaj. Kliknij tutaj.

Instrukcje dotyczące konfiguracji:

Łączenie bezpiecznego punktu końcowego cisco z Microsoft Sentinel

Aby pozyskiwać dane z bezpiecznego punktu końcowego cisco do Microsoft Sentinel, kliknij przycisk Dodaj konto poniżej, a następnie zostanie wyświetlone okno podręczne, aby wypełnić szczegóły, takie jak Email, Organizacja, Identyfikator klienta, Klucz interfejsu API i region, podaj wymagane informacje i kliknij pozycję Połącz. Połączone organizacje/wiadomości e-mail można wyświetlić w poniższej siatce.

  • Siatka łączników danych (konfigurowana w portalu)



Cisco Software Defined WAN

Obsługiwane przez:Cisco Systems

Łącznik danych Cisco Software Defined WAN (SD-WAN) zapewnia możliwość pozyskiwania danych Cisco SD-WAN Syslog i Netflow do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Syslog Tak Tak
CiscoSDWANNetflow_CL Nie Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Aby pozyskiwać dane cisco SD-WAN Syslog i Netflow do Microsoft Sentinel wykonaj poniższe kroki.

1. Kroki pozyskiwania danych dziennika systemowego do usługi Microsoft Sentinel

Azure Monitor Agent będzie używany do zbierania danych dziennika systemowego do usługi Microsoft Sentinel. W tym celu należy najpierw utworzyć serwer usługi Azure Arc dla maszyny wirtualnej, z której będą wysyłane dane dziennika systemowego.

1.1 Kroki dodawania serwera Azure Arc

  1. W Azure Portal przejdź do pozycji Serwery — Azure Arc i kliknij pozycję Dodaj.
  2. Wybierz pozycję Generuj skrypt w sekcji Dodawanie pojedynczego serwera. Użytkownik może również generować skrypty dla wielu serwerów.
  3. Przejrzyj informacje na stronie Wymagania wstępne, a następnie wybierz pozycję Dalej.
  4. Na stronie Szczegóły zasobu podaj subskrypcję i grupę zasobów metody Microsoft Sentinel, Region, System operacyjny i Łączność. Następnie wybierz pozycję Dalej.
  5. Na stronie Tagi przejrzyj sugerowane domyślne tagi lokalizacji fizycznej i wprowadź wartość lub określ co najmniej jeden tag niestandardowy, aby obsługiwać standardy. Następnie wybierz pozycję Dalej
  6. Wybierz pozycję Pobierz, aby zapisać plik skryptu.
  7. Po wygenerowaniu skryptu następnym krokiem jest uruchomienie go na serwerze, który chcesz dołączyć do usługi Azure Arc.
  8. Jeśli masz Azure maszynę wirtualną, wykonaj kroki wymienione w linku przed uruchomieniem skryptu.
  9. Uruchom skrypt za pomocą następującego polecenia: ./<ScriptName>.sh
  10. Po zainstalowaniu agenta i skonfigurowaniu go w celu nawiązania połączenia z serwerami z obsługą usługi Azure Arc przejdź do Azure Portal, aby sprawdzić, czy serwer został pomyślnie połączony. Wyświetl maszynę w Azure Portal. Link referencyjny:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2. Kroki tworzenia reguły zbierania danych (DCR)

  1. W Azure portalu wyszukaj pozycję Monitor. W obszarze Ustawienia wybierz pozycję Reguły zbierania danych i wybierz pozycję Utwórz.
  2. Na panelu Podstawy wprowadź pola Nazwa reguły, Subskrypcja, Grupa zasobów, Region i Typ platformy.
  3. Wybierz pozycję Dalej: Zasoby.
  4. Wybierz pozycję Dodaj zasoby. Użyj filtrów, aby znaleźć maszynę wirtualną, która będzie używana do zbierania dzienników.
  5. Wybierz maszynę wirtualną. Wybierz polecenie Zastosuj.
  6. Wybierz pozycję Dalej: Zbierz i dostarczaj.
  7. Wybierz pozycję Dodaj źródło danych. W polu Typ źródła danych wybierz pozycję Linux syslog.
  8. W polu Minimalny poziom dziennika pozostaw wartości domyślne LOG_DEBUG.
  9. Wybierz pozycję Dalej: Miejsce docelowe.
  10. Wybierz pozycję Dodaj miejsce docelowe i dodaj typ miejsca docelowego, subskrypcję i konto lub przestrzeń nazw.
  11. Wybierz pozycję Dodaj źródło danych. Wybierz pozycję Dalej: Przejrzyj i utwórz.
  12. Wybierz pozycję Utwórz. Poczekaj 20 minut. W Microsoft Sentinel lub Azure Monitor sprawdź, czy na maszynie wirtualnej jest uruchomiony agent Azure Monitor. Link referencyjny:/azure/sentinel/forward-syslog-monitor-agent

2. Kroki pozyskiwania danych netflow do usługi Microsoft Sentinel

Aby pozyskiwać dane netflow do usługi Microsoft Sentinel, na maszynie wirtualnej należy zainstalować i skonfigurować program Filebeat i Logstash. Po zakończeniu konfiguracji maszyna wirtualna będzie mogła odbierać dane netflow na skonfigurowanym porcie, a te dane zostaną pozyskane do obszaru roboczego usługi Microsoft Sentinel.

2.1 Instalowanie programu filebeat i logstash

  1. Aby uzyskać informacje o instalacji plików filebeat i logstash przy użyciu narzędzia apt, zapoznaj się z następującym dokumentem:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. W przypadku instalacji plików filebeat i logstash dla bazy danych RedHat Linux (yum) kroki są następujące:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2. Konfigurowanie programu Filebeat do wysyłania zdarzeń do usługi Logstash

  1. Edytuj plik filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. Oznacz jako komentarz sekcję Elasticsearch Output (Dane wyjściowe elasticsearch).
  3. Uncomment Logstash Output section (Uncomment out only these two lines)- output.logstash hosts: ["localhost:5044"]
  4. W sekcji Dane wyjściowe usługi Logstash, jeśli chcesz wysłać dane inne niż port domyślny, tj. port 5044, zastąp numer portu w polu hostów. (Uwaga: ten port powinien zostać dodany do pliku conf podczas konfigurowania usługi logstash).
  5. W sekcji "filebeat.inputs" opisano istniejącą konfigurację i dodano następującą konfigurację: - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:
  • /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  1. W sekcji Filebeat inputs (Dane wejściowe filebeat) jeśli chcesz odbierać dane inne niż port domyślny, tj. port 2055, zastąp numer portu w polu hosta.
  2. Dodaj podany plik custom.yml w katalogu /etc/filebeat/.
  3. Otwórz port wejściowy i wyjściowy filebeat w zaporze.
  4. Uruchom polecenie: firewall-cmd --zone=public --permanent --add-port=2055/udp
  5. Uruchom polecenie: firewall-cmd --zone=public --permanent --add-port=5044/udp

Uwaga: jeśli dodano port niestandardowy dla danych wejściowych/wyjściowych filebeat, otwórz ten port w zaporze.

2.3. Konfigurowanie usługi Logstash do wysyłania zdarzeń do Microsoft Sentinel

  1. Zainstaluj wtyczkę Azure Log Analytics:
  2. Uruchom polecenie: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. Zapisz klucz obszaru roboczego usługi Log Analytics w magazynie kluczy usługi Logstash. Klucz obszaru roboczego można znaleźć w witrynie Azure Portal w obszarze Obszar roboczy dzienników Wybierz obszar > roboczy > W obszarze Ustawienia wybierz pozycję > Agent Log Analytics agenta instrukcje.
  4. Skopiuj klucz podstawowy i uruchom następujące polecenia:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. Utwórz plik konfiguracji /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Wprowadź numer portu wyjściowego, który został skonfigurowany podczas konfiguracji filebeat, tj. filebeat.yml pliku .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

Uwaga: jeśli tabela nie jest obecna w usłudze Microsoft Sentinel, utworzy nową tabelę w usłudze Sentinel.

2.4 Uruchom program Filebeat:

  1. Otwórz terminal i uruchom polecenie: systemctl start filebeat
  2. To polecenie rozpocznie uruchamianie programu filebeat w tle. Aby wyświetlić dzienniki zatrzymać filebeat (systemctl stop filebeat), a następnie uruchom następujące polecenie: filebeat run -e

2.5 Uruchom usługę Logstash:

  1. W innym terminalu uruchom polecenie: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
  2. To polecenie rozpocznie uruchamianie usługi logstash w tle. Aby wyświetlić dzienniki usługi logstash, należy zabić powyższy proces i uruchomić następujące polecenie: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf



Claroty xDome

Obsługiwane przez:xDome Customer Support

Aplikacja Claroty xDome zapewnia kompleksowe funkcje zarządzania zabezpieczeniami i alertami dla opieki zdrowotnej i środowisk sieci przemysłowych. Jest ona przeznaczona do mapowania wielu typów źródeł, identyfikowania zebranych danych i integrowania ich z modelami danych Microsoft Sentinel. Skutkuje to możliwością monitorowania wszystkich potencjalnych zagrożeń w środowisku opieki zdrowotnej i środowisk przemysłowych w jednej lokalizacji, co prowadzi do skuteczniejszego monitorowania bezpieczeństwa i silniejszej postawy bezpieczeństwa.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

1. konfiguracja agenta Linux Syslog

Zainstaluj i skonfiguruj agenta Linux, aby zbierał komunikaty dziennika Syslog w formacie Common Event Format (CEF) i przekazywał je do Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny Linux

Wybierz lub utwórz maszynę Linux, która Microsoft Sentinel będzie używana jako serwer proxy między rozwiązaniem zabezpieczeń i Microsoft Sentinel ta maszyna może znajdować się w środowisku lokalnym, Azure lub innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie Linux

Zainstaluj agenta monitorowania firmy Microsoft na maszynie Linux i skonfiguruj maszynę do nasłuchiwania na niezbędnym porcie i przekazywania komunikatów do obszaru roboczego Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python --version.

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

  • Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:: <wartość zmiennej podana w czasie instalacji>

2. Przekazywanie dzienników wspólnego formatu zdarzeń (CEF) do agenta usługi Syslog

Skonfiguruj integrację aplikacji Claroty xDome — Microsoft Sentinel, aby zbierać komunikaty dziennika Syslog w formacie Common Event Format (CEF) i przekazywać je do Microsoft Sentinel.

3. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python --version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na komputerze

  • Uruchom następujące polecenie, aby zweryfikować łączność:: <wartość zmiennej podana w czasie instalacji>

**4. Zabezpieczanie maszyny **

Upewnij się, że skonfigurowano zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >



Cloudflare (wersja zapoznawcza) (przy użyciu Azure Functions)

Obsługiwane przez:Cloudflare

Łącznik danych Cloudflare zapewnia możliwość pozyskiwania dzienników cloudflare do Microsoft Sentinel przy użyciu Azure Blob Storage Cloudflare Logpush. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją rozwiązania Cloudflare .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cloudflare_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Azure Blob Storage parametry połączenia i nazwa kontenera: Azure Blob Storage parametry połączenia i nazwa kontenera, do którego dzienniki są wypychane przez usługę Cloudflare Logpush. Aby uzyskać więcej informacji, zobacz tworzenie kontenera Azure Blob Storage.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Azure Blob Storage w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami w usłudze Cloudflare wdrożonej za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Konfiguracja rozwiązania Cloudflare Logpush

Zapoznaj się z dokumentacją dotyczącą konfigurowania aplikacji Cloudflare Logpush w usłudze Microsoft Azure

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Cloudflare należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępne Azure Blob Storage parametry połączenia i nazwę kontenera.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Cloudflare przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź nazwę kontenera Azure Blob Storage, Azure Blob Storage parametry połączenia, identyfikator Microsoft Sentinel obszaru roboczego, Microsoft Sentinel klucz udostępniony

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Poniższe instrukcje krok po kroku umożliwiają ręczne wdrożenie łącznika danych Cloudflare przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. CloudflareXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.8.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Cloudflare (przy użyciu kontenera obiektów blob) (za pośrednictwem struktury łączników bezkodowych)

Obsługiwane przez:Cloudflare

Łącznik danych Cloudflare umożliwia pozyskiwanie dzienników cloudflare do Microsoft Sentinel przy użyciu Azure Blob Storage Cloudflare Logpush. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją rozwiązania Cloudflare.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CloudflareV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Utwórz konto magazynu i kontener: przed skonfigurowaniem usługi logpush w usłudze Cloudflare najpierw utwórz konto magazynu i kontener w usłudze Microsoft Azure. Skorzystaj z tego przewodnika , aby dowiedzieć się więcej na temat kontenera i obiektu blob. Wykonaj kroki opisane w dokumentacji, aby utworzyć konto usługi Azure Storage.
  • Wygeneruj adres URL sygnatury dostępu współdzielonego obiektu blob: wymagane są uprawnienia do tworzenia i zapisu. Zapoznaj się z dokumentacją , aby dowiedzieć się więcej o tokenie i adresie URL sygnatury dostępu współdzielonego obiektu blob.
  • Zbieranie dzienników z usługi Cloudflare do kontenera obiektów blob: wykonaj kroki opisane w dokumentacji dotyczącej zbierania dzienników z usługi Cloudflare do kontenera obiektów blob.

Instrukcje dotyczące konfiguracji:

Łączenie dzienników cloudflare z Microsoft Sentinel

Aby włączyć dzienniki cloudflare dla Microsoft Sentinel, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

  • Adres URL kontenera obiektów blob, z który chcesz zbierać dane:
  • Nazwa grupy zasobów konta magazynu kontenera obiektów blob:
  • Lokalizacja konta magazynu kontenera obiektów blob:
  • Identyfikator subskrypcji konta magazynu kontenera obiektów blob:
  • Nazwa tematu siatki zdarzeń konta magazynu kontenera obiektów blob, jeśli istnieje. w przeciwnym razie pozostaw puste.:
  • Włączanie/wyłączanie połączenia



Cognni

Obsługiwane przez:Cognni

Łącznik Cognni oferuje szybką i prostą integrację z Microsoft Sentinel. Program Cognni umożliwia autonomiczne mapowanie wcześniej niesklasyfikowanych ważnych informacji i wykrywanie powiązanych zdarzeń. Dzięki temu można rozpoznać zagrożenia dla ważnych informacji, zrozumieć ważność zdarzeń i zbadać szczegóły potrzebne do skorygowania, wystarczająco szybko, aby coś zmienić.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CognniIncidents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Nawiązywanie połączenia z programem Cognni

  1. Przejdź do strony integracji cognni
  2. Kliknij pozycję "Połącz" w polu "Microsoft Sentinel"
  3. Skopiuj i wklej elementy "workspaceId" i "sharedKey" (od dołu) do powiązanych pól na ekranie integracji cognni
  4. Kliknij botton "Połącz", aby ukończyć konfigurację.
    Wkrótce wszystkie zdarzenia wykryte przez cognni zostaną przekazane tutaj (do Microsoft Sentinel)

Nie jesteś użytkownikiem cognni? Dołącz do nas

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz udostępniony: <wartość zmiennej podana w czasie instalacji>



Spójność (przy użyciu Azure Functions)

Obsługiwane przez:Cohesity

Aplikacje funkcji Cohesity zapewniają możliwość pozyskiwania alertów ransomware Cohesity Datahawk do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cohesity_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Azure Blob Storage parametry połączenia i nazwa kontenera: Azure Blob Storage parametry połączenia i nazwa kontenera

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, które łączą się z usługą Azure Blob Storage i usługą KeyVault. Może to spowodować dodatkowe koszty. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions, Azure Blob Storage cennik i Azure cennik usługi KeyVault.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Uzyskiwanie klucza interfejsu API Cohesity DataHawk (zobacz instrukcje rozwiązywania problemów 1)

KROK 2 — Rejestrowanie aplikacji Azure (link) i zapisywanie identyfikatora aplikacji (klienta), identyfikatora katalogu (dzierżawy) i wartości wpisu tajnego (instrukcje). Przyznaj mu uprawnienie Azure Storage (user_impersonation). Ponadto przypisz rolę "współautor Microsoft Sentinel" do aplikacji w odpowiedniej subskrypcji.

KROK 3 — Wdrażanie łącznika i skojarzonego Azure Functions.

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych cohesity przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź parametry utworzone w poprzednich krokach

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



CommvaultSecurityIQ

Obsługiwane przez:Commvault

Ta funkcja Azure umożliwia użytkownikom usługi Commvault pozyskiwanie alertów/zdarzeń do wystąpienia Microsoft Sentinel. Za pomocą reguł analitycznych Microsoft Sentinel może automatycznie tworzyć Microsoft Sentinel zdarzenia z przychodzących zdarzeń i dzienników.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommvaultAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Adres URL punktu końcowego środowiska usługi Commvault: pamiętaj, aby postępować zgodnie z dokumentacją i ustawić wartość wpisu tajnego w usłudze KeyVault
  • Token zestawu QSDK usługi Commvault: pamiętaj, aby postępować zgodnie z dokumentacją i ustawić wartość wpisu tajnego w usłudze KeyVault

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z wystąpieniem usługi Commvault w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji tokenu zestawu QSDK commvalut

Postępuj zgodnie z tymi instrukcjami, aby utworzyć token interfejsu API.

KROK 2 — Wdrażanie łącznika i skojarzonej funkcji Azure

WAŻNE: Przed wdrożeniem łącznika danych CommvaultSecurityIQ należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także adres URL punktu końcowego usługi Commvault i token QSDK, które są łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych IQ usługi Commvault Security.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego "i/lub inne wymagane pola", a następnie kliknij przycisk Dalej.

  4. Kliknij pozycję Utwórz , aby wdrożyć.



Kontrast — łącznik wypychania ADR

Obsługiwane przez:Contrast Security

Łącznik Contrast Security zapewnia możliwość pozyskiwania zdarzeń i zdarzeń ataków z funkcji wykrywania i reagowania aplikacji kontrastu (ADR) do Microsoft Sentinel. Ten łącznik odbiera dane za pośrednictwem mechanizmu wypychania elementu webhook przy użyciu uwierzytelniania OAuth.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ContrastADRAttackEvents_CL Nie Nie
ContrastADRIncidents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID (jeśli używasz aplikacji utworzonej automatycznie). Zazwyczaj wymaga roli dewelopera aplikacji lub nowszej.
  • Microsoft Azure: uprawnienie do tworzenia i konfigurowania zasobów Azure (DCE, DCR, Tables) i przypisywania ról RBAC. Zazwyczaj wymaga ról współautora i administratora dostępu użytkowników.
  • Contrast ADR Webhook Access:Access to Contrast ADR platform to configure webhook with OAuth authentication settings (Dostęp do kontrastu do platformy ADR kontrastu w celu skonfigurowania elementu webhook przy użyciu ustawień uwierzytelniania OAuth).

Instrukcje dotyczące konfiguracji:

1. Wdrażanie zasobów łącznika

Wdróż wymagane zasoby Azure na potrzeby pozyskiwania danych usługi Contrast ADR.

Wybierz opcję wdrożenia

Wybierz jedną z następujących opcji wdrażania na podstawie wymagań:

Kliknięcie pozycji Deploy Contrast ADR CCF Connector (Wdrażanie łącznika ADR CCF) spowoduje automatyczne utworzenie:

  • Punkt końcowy zbierania danych (DCE)
  • Reguła zbierania danych (DCR) ze strumieniami zdarzeń ataku i zdarzeń
  • Tabele usługi Log Analytics (ContrastADRAttackEvents_CL i ContrastADRIncidents_CL)
  • aplikacja Microsoft Entra z poświadczeniami OAuth
  • Przypisanie roli (wydawca metryk monitorowania) w usłudze DCR

Po wdrożeniu: Wszystkie wartości konfiguracji (identyfikator dzierżawy, identyfikator klienta, klucz tajny klienta, identyfikator URI DCE, niezmienny identyfikator DCR) zostaną wypełnione automatycznie poniżej, aby ułatwić kopiowanie i wklejanie do platformy Contrast.

Opcja B: Użyj istniejącej wcześniej aplikacji Microsoft Entra (BYOA)

Kliknięcie pozycji Wdróż kontrast łącznikADR CCF spowoduje utworzenie:

  • Punkt końcowy zbierania danych (DCE)
  • Reguła zbierania danych (DCR) ze strumieniami zdarzeń ataku i zdarzeń
  • Tabele usługi Log Analytics (ContrastADRAttackEvents_CL i ContrastADRIncidents_CL)
  • Microsoft Entra aplikacji (można to zignorować)

Kiedy używać: jeśli masz istniejącą aplikację Entra, którą chcesz ponownie użyć ze względów bezpieczeństwa lub zgodności. Wymagane są dodatkowe kroki:

  1. Po wdrożeniu ręcznie przypisz wcześniej istniejącą jednostkę usługi aplikacji Entra rolę wydawcy metryk monitorowania w utworzonym kontrolerze DOMENY
  2. Użyj własnego identyfikatora klienta aplikacji Entra i klucza tajnego klienta (zignoruj wygenerowane automatycznie poniżej dane)
  3. Użyj identyfikatora URI DCE i niezmiennego identyfikatora DCR od dołu w konfiguracji elementu webhook kontrastu

Kliknij pozycję Wdróż, aby rozpocząć:

2. Konfigurowanie elementu webhook usługi Contrast ADR

Skopiuj następujące wartości, aby skonfigurować integrację Microsoft Sentinel na platformie Contrast ADR.

W przypadku opcji A (automatycznie utworzona aplikacja Entra): użyj wszystkich poniższych automatycznie wypełnionych wartości. W przypadku opcji B (wcześniej istniejąca aplikacja Entra): Użyj identyfikatora URI DCE, niezmiennego identyfikatora DCR i nazw Stream od dołu, ale użyj własnego identyfikatora dzierżawy Entra aplikacji, identyfikatora klienta i klucza tajnego klienta.

Azure wartości konfiguracji:

  • Identyfikator dzierżawy: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator aplikacji (klienta): <wartość zmiennej podana w czasie instalacji>
  • Klucz tajny klienta: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych (DCE):< wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych (DCR): <wartość zmiennej podana w czasie instalacji>
  • Zdarzenia ataku Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Zdarzenia Stream nazwa: <wartość zmiennej podana w czasie instalacji>

Konfigurowanie na platformie Contrast ADR

  1. Logowanie się do platformy Contrast ADR
  2. Przejdź do obszaru Integracje > administracyjne > Microsoft Sentinel
  3. Skopiuj i wklej wszystkie wartości konfiguracji z powyższych elementów:
    • Identyfikator dzierżawy
    • Identyfikator aplikacji (klienta)
    • Klucz tajny klienta
    • Identyfikator URI punktu końcowego zbierania danych (DCE)
    • Niezmienny identyfikator reguły zbierania danych (DCR)
    • Nazwa Stream zdarzeń ataku
    • Nazwa Stream zdarzeń
  4. Kliknij przycisk Zapisz , aby ukończyć integrację

Platforma Contrast automatycznie skonfiguruje uwierzytelnianie OAuth i punkty końcowe danych przy użyciu tych wartości.

3. Weryfikowanie pozyskiwania danych

Sprawdź, czy dane przepływają z trasy ADR kontrastu do Microsoft Sentinel.

Kroki weryfikacji

  1. Wyzwalanie zdarzenia ataku testowego w usłudze Contrast ADR
  2. Poczekaj 5–10 minut na wyświetlenie danych w Microsoft Sentinel
  3. Uruchom następujące zapytanie, aby zweryfikować zdarzenia ataku:
ContrastADRAttackEvents_CL
| take 10
  1. Weryfikowanie danych zdarzeń:
ContrastADRIncidents_CL
| take 10
  1. Sprawdź łączność:
ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

Jeśli pojawią się dane i funkcja IsConnected zwróci wartość true, łącznik zostanie poprawnie skonfigurowany.



Eksporter łącznika Corelight

Obsługiwane przez:Corelight

Łącznik danych Corelight umożliwia reagowanie na zdarzenia i łowców zagrożeń, którzy używają Microsoft Sentinel do szybszej i wydajniejszej pracy. Łącznik danych umożliwia pozyskiwanie zdarzeń ze Zeek i Suricata za pośrednictwem czujników Corelight do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Corelight Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami rozwiązania Corelight wdrożonego za pomocą rozwiązania Microsoft Sentinel.

1. Pobieranie plików

Skontaktuj się z tam, SE lub info@corelight.com aby uzyskać pliki potrzebne do integracji Microsoft Sentinel.

2. Powtórz przykładowe dane.

Powtórz przykładowe dane, aby utworzyć potrzebne tabele w obszarze roboczym usługi Log Analytics.

  • Wysyłanie przykładowych danych (wymaganych tylko raz dla obszaru roboczego usługi Log Analytics): <wartość zmiennej podana w czasie instalacji>

3. Zainstaluj niestandardowego eksportera.

Zainstaluj niestandardowego eksportera lub kontener logstash.

4. Skonfiguruj czujnik Corelight w celu wysyłania dzienników do agenta usługi Log Analytics Azure.

Korzystając z poniższych wartości, skonfiguruj czujnik Corelight tak, aby używał eksportera Microsoft Sentinel. Alternatywnie można skonfigurować kontener logstash przy użyciu tych wartości i skonfigurować czujnik do wysyłania kodu JSON za pośrednictwem protokołu TCP do tego kontenera na odpowiednim porcie.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Podstawowy klucz obszaru roboczego: <wartość zmiennej podana w czasie instalacji>



Cortex XDR — zdarzenia

Obsługiwane przez:DEFEND Ltd.

Łącznik danych niestandardowych z funkcji DEFEND w celu wykorzystania interfejsu API Cortex do pozyskiwania zdarzeń z platformy Cortex XDR do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CortexXDR_Incidents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia interfejsu API Cortex: token interfejsu API Cortex jest wymagany dla interfejsu API REST. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.

Instrukcje dotyczące konfiguracji:

Włączanie interfejsu API XDR Cortex

Połącz cortex XDR z Microsoft Sentinel za pośrednictwem interfejsu API Cortex w celu przetwarzania zdarzeń Cortex.



Cribl

Obsługiwane przez:Cribl

Łącznik Cribl umożliwia łatwe łączenie dzienników cribl (Cribl Enterprise Edition — autonomiczny) z Microsoft Sentinel. Dzięki temu możesz uzyskać więcej informacji na temat zabezpieczeń potoków danych organizacji.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CriblInternal_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Instrukcje instalacji i instalacji programu Cribl Stream dla Microsoft Sentinel

Skorzystaj z dokumentacji z tego repozytorium Github i skonfiguruj cribl Stream przy użyciu

https://docs.cribl.io/stream/usecase-azure-workspace/



Łącznik danych interfejsu API CrowdStrike (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych CrowdStrike umożliwia pozyskiwanie dzienników z interfejsu API CrowdStrike do Microsoft Sentinel. Ten łącznik umożliwia pozyskiwanie alertów, wykrywania, hostów, przypadków i luk w zabezpieczeniach usługi CrowdStrike w Microsoft Sentinel. Ten łącznik jest oparty na Microsoft Sentinel Codeless Connector Framework i używa interfejsu API CrowdStrike do pobierania dzienników. Obsługuje ona przekształcenia czasu pozyskiwania oparte na modelu DCR, dzięki czemu zapytania mogą być uruchamiane wydajniej. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usługi CrowdStrike .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CrowdStrikeAlerts Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Crowdstrike OAuth2 API Client and Scopes: Alerts, API Integrations, App Logs, Cases, Correlation Rules, Detections, Hosts, Assets, Incidents, Quarantined Files, Vulnerabilities are required for REST API .Crowdstrike OAuth2 API Client and Scopes: Alerts, API Integrations, App Logs, Cases, Correlation Rules, Detections, Hosts, Assets, Incidents, Quarantined Files, Vulnerabilities are required for REST API . Aby uzyskać więcej informacji, zobacz INTERFEJS API.

Instrukcje dotyczące konfiguracji:

Łączenie aplikacji CrowdStrike z Microsoft Sentinel

Uwaga: Ważne powiadomienie: interfejs API zdarzeń został całkowicie zlikwidowany. Zamiast tego użyj nowego typu danych Cases.

Aby zebrać dane z aplikacji CrowdStrike, należy podać następujące zasoby

1. Podstawowy adres URL interfejsu API — aby zebrać dane z aplikacji CrowdStrike, potrzebny jest podstawowy adres URL interfejsu API.

2. Identyfikator klienta — aby zebrać dane z aplikacji CrowdStrike, potrzebny jest identyfikator klienta.

3. Klucz tajny klienta — do zbierania danych z usługi CrowdStrike potrzebny jest klucz tajny klienta.

Aby uzyskać szczegółowe instrukcje dotyczące pobierania podstawowego adresu URL interfejsu API, identyfikatora klienta i klucza tajnego klienta, zapoznaj się z samouczkiem dotyczącym łącznika.

  • Siatka łączników danych (konfigurowana w portalu)

Wykrywanie zapytań (po pomyślnym połączeniu)

Po pozyskiwaniu dzienników tabela CrowdStrikeDetections zawiera pojedyncze rekordy alertów pogrupowane według aggregate_id. Aby wyświetlić prawdziwe zachowanie na poziomie wykrywania, użyj następującego zapytania KQL, aby zagregować alerty według grupy wykrywania:

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId



CrowdStrike Falcon Adversary Intelligence (za pomocą Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik CrowdStrike Falcon Indicators of Compromise pobiera wskaźniki kompromisu z interfejsu API Falcon Intel i przekazuje je Microsoft Sentinel Threat Intel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelIndicators Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Identyfikator klienta interfejsu API CrowdStrike i klucz tajny klienta: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Poświadczenia crowdstrike muszą mieć zakres odczytu wskaźników (Falcon Intelligence).

Instrukcje dotyczące konfiguracji:

KROK 1 . Generowanie poświadczeń interfejsu API CrowdStrike.

Upewnij się, że zakres "Indicators (Falcon Intelligence)" ma zaznaczony zakres "read"

KROK 2 — Rejestrowanie aplikacji Entra przy użyciu wpisu tajnego klienta.

Podaj Entra jednostce aplikacji przypisanie roli "współautor Microsoft Sentinel" w odpowiednim obszarze roboczym usługi Log Analytics. Jak przypisywać role na Azure.

KROK 3 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika CrowdStrike Falcon Indicator of Compromise należy mieć identyfikator obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika łącznika CrowdStrike Falcon Adversary Intelligence przy użyciu narzędzia ARM Tempate.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Podaj następujące parametry: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

Opcja 2 — ręczne wdrażanie Azure Functions

Poniższe instrukcje krok po kroku umożliwiają ręczne wdrożenie łącznika CrowdStrike Falcon Adversary Intelligence przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. CrowdStrikeFalconIOCXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.12.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

  12. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



CrowdStrike Falcon Data Replicator (AWS S3) (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik Crowdstrike Falcon Data Replicator (S3) umożliwia pozyskiwanie danych zdarzeń FDRinto Microsoft Sentinel z zasobnika AWS S3, gdzie dzienniki FDR były przesyłane strumieniowo. Łącznik zapewnia możliwość pobierania zdarzeń od agentów falcona, co ułatwia badanie potencjalnych zagrożeń dla bezpieczeństwa, analizowanie korzystania przez zespół ze współpracy, diagnozowanie problemów z konfiguracją i nie tylko.

UWAGA:

1. Licencja FDR CrowdStrike musi być dostępna & włączona.

2. Łącznik wymaga skonfigurowania roli IAM na platformie AWS w celu umożliwienia dostępu do zasobnika usługi AWS S3 i może nie być odpowiedni dla środowisk korzystających z zasobników zarządzanych przez usługę CrowdStrike.

3. W przypadku środowisk korzystających z zasobników zarządzanych przez rozwiązanie CrowdStrike skonfiguruj łącznik CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CrowdStrike_Additional_Events_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Wymagania: W celu korzystania z funkcji Falcon Data Replicator wymagane są następujące elementy:

  1. Subskrypcja: 1.1. Falcon Data Replicator. 1.2. Falcon Insight XDR.

  2. Role: 2.1. Administrator sokoła.

  3. Skonfiguruj środowiska usługi CrowdStrike & AWS Aby skonfigurować dostęp na platformie AWS, użyj następujących dwóch szablonów udostępnionych do skonfigurowania środowiska platformy AWS. Umożliwi to wysyłanie dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics.

Dla każdego szablonu utwórz stos na platformie AWS:

  1. Przejdź do obszaru AWS CloudFormation Stacks.
  2. Wybierz opcję "Określ szablon", a następnie "Przekaż plik szablonu", klikając pozycję "Wybierz plik" i wybierając odpowiedni plik szablonu CloudFormation podany poniżej. kliknij pozycję "Wybierz plik" i wybierz pobrany szablon.
  3. Kliknij pozycje "Dalej" i "Utwórz stos".

Upewnij się, że zasobnik zostanie utworzony w tym samym regionie platformy AWS, w którym jest aprowizowane źródło danych FDR. | Region CrowdStrike | Region platformy AWS | |-----------------|-----------| | STANY ZJEDNOCZONE-1 | us-west-1 | | STANY ZJEDNOCZONE-2 | us-west-2 | | UE-1 | eu-central-1

  • Szablon 1: Wdrożenie uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów usługi AWS CrowdStrike: <wartość zmiennej podana w czasie> instalacji Przy użyciu własnego zasobnika S3 W celu użycia własnego zasobnika S3 można zapoznać się z następującym przewodnikiem Korzystanie z własnego zasobnika S3 lub wykonaj następujące kroki:
  1. Utwórz przypadek pomocy technicznej o następującej nazwie: Korzystanie z zasobnika Self S3 dla usługi FDR
  2. Dodaj następujące informacje: 2.1. Cid Falcon, gdzie kanał informacyjny FDR jest aprowizowane 2.2. Określ typy zdarzeń, które chcesz podać w tym nowym kanale informacyjnym FDR. 2.3. Określ typy zdarzeń, które chcesz podać w tym nowym kanale informacyjnym FDR. 2.4. Nie używaj żadnych partycji.
Typ zdarzenia Prefiks S3
Zdarzenia podstawowe Danych/
Zdarzenia pomocnicze fdrv2/
  1. Połącz nowe moduły zbierające Aby włączyć usługę AWS S3 dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.
  • Siatka łączników danych (konfigurowana w portalu)



CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (przy użyciu funkcji Azure) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Ten łącznik umożliwia pozyskiwanie danych FDR do Microsoft Sentinel przy użyciu Azure Functions do obsługi oceny potencjalnych zagrożeń bezpieczeństwa, analizy działań współpracy, identyfikacji problemów z konfiguracją i innych szczegółowych informacji operacyjnych.

UWAGA:

1. Licencja FDR CrowdStrike musi być dostępna & włączona.

2. Łącznik używa uwierzytelniania opartego na & klucza tajnego i jest odpowiedni dla zasobników zarządzanych przez usługę CrowdStrike.

3. W przypadku środowisk korzystających z w pełni należącego zasobnika AWS S3 firma Microsoft zaleca korzystanie z łącznika CrowdStrike Falcon Data Replicator (AWS S3 ).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CrowdStrikeReplicatorV2 Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Wymagane są poświadczenia/uprawnienia konta SQS i AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Aby uzyskać więcej informacji, zobacz ściąganie danych. Aby rozpocząć, skontaktuj się z pomocą techniczną aplikacji CrowdStrike. Na twoje żądanie utworzyją zarządzane przez firmę CrowdStrike zasobnik usług Amazon Web Services (AWS) S3 do celów magazynu krótkoterminowego, a także konto SQS (prosta usługa kolejkowania) do monitorowania zmian w zasobniku S3.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z usługami AWS SQS/S3 w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy autoryzacji interfejsu API lub tokenów w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Wymagania wstępne

  1. Konfigurowanie trasy FDR w usłudze CrowdStrike — aby włączyć funkcję CrowdStrike FDR, należy skontaktować się z zespołem pomocy technicznej aplikacji CrowdStrike .
    • Po włączeniu funkcji CrowdStrike FDR z konsoli CrowdStrike przejdź do pozycji Pomoc techniczna —> Klienci i klucze interfejsu API.
    • Musisz utworzyć nowe poświadczenia, aby skopiować identyfikator klucza dostępu platformy AWS, klucz dostępu do wpisu tajnego platformy AWS, adres URL kolejki SQS i region usług AWS.
  2. Rejestrowanie aplikacji usługi AAD — aby usługa DCR authentiate pozyskiwać dane do analizy dzienników, należy użyć aplikacji usługi AAD.
    • Postępuj zgodnie z instrukcjami w tym miejscu (kroki 1–5), aby uzyskać identyfikator dzierżawy usługi AAD, identyfikator klienta usługi AAD i wpis tajny klienta usługi AAD.
    • W przypadku identyfikatora jednostki usługi AAD tej aplikacji uzyskaj dostęp do aplikacji usługi AAD za pośrednictwem portalu usługi AAD i przechwyć identyfikator obiektu ze strony przeglądu aplikacji.

Opcje wdrażania

Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika usługi Crowdstrike Falcon Data Replicator w wersji 2 przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Podaj wymagane szczegóły, takie jak obszar roboczy Microsoft Sentinel, poświadczenia usługi CrowdStrike AWS, Azure AD szczegóły aplikacji i konfiguracje pozyskiwania

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. Zaleca się utworzenie nowej grupy zasobów na potrzeby wdrażania aplikacji funkcji i skojarzonych zasobów. 3. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 4. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik usługi Crowdstrike Falcon Data Replicator przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie tabel DCE, DCR i niestandardowych na potrzeby pozyskiwania danych

  2. Wdróż wymagane zasoby DCE, DCR i tabele niestandardowe przy użyciu szablonu usługi ARM zasobu zbierania danych

  3. Po pomyślnym wdrożeniu DCE i DCR(ów) uzyskaj poniższe informacje i podaj te informacje (wymagane podczas wdrażania aplikacji Azure Functions).

  4. Wdrażanie aplikacji funkcji

  5. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  6. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.

  7. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

  8. Konfigurowanie aplikacji funkcji

  9. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  10. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  11. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  12. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (wielkość liter): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //True, jeśli dane pierwotne są wymagane USER_SELECTION_REQUIRE_SECONDARY //True, jeśli dane pomocnicze są wymagane MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 do użycia i 150 dla usługi Premium MAX_SCRIPT_EXEC_TIME_MINUTES // dodaj wartość 10 tutaj AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // Plik jest obecny w witrynie GitHub. Dodaj, czy dostęp do pliku można uzyskać za pomocą internetu REQUIRED_FIELDS_SCHEMA_LINK //File jest obecny w witrynie GitHub. Dodaj, czy dostęp do pliku można uzyskać za pomocą internetowego harmonogramu //Dodaj wartość "0 */1 * * * *", aby upewnić się, że funkcja działa co minutę.

  13. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Dziennik systemowy CTERA

Obsługiwane przez:CTERA

Łącznik danych CTERA dla Microsoft Sentinel oferuje możliwości monitorowania i wykrywania zagrożeń dla rozwiązania CTERA. Zawiera skoroszyt wizualizujący sumę wszystkich operacji na typ, usunięcia i operacje odmowy dostępu. Udostępnia również reguły analityczne, które wykrywają zdarzenia wymuszania okupu i powiadamiają o zablokowaniu użytkownika z powodu podejrzanej aktywności wymuszania okupu. Ponadto ułatwia identyfikowanie wzorców krytycznych, takich jak zdarzenia odmowy dostępu masowego, masowe usuwanie i zmiany uprawnień masowych, co umożliwia proaktywne zarządzanie zagrożeniami i reagowanie na nie.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Syslog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Krok 1. Łączenie platformy CTERA z dziennikami systemowymi

Konfigurowanie połączenia dziennika systemowego portalu CTERA i łącznika Edge-Filer Syslog

Krok 2. Instalowanie agenta Azure Monitor (AMA) na serwerze Syslog

Zainstaluj agenta Azure Monitor (AMA) na serwerze dziennika systemowego, aby włączyć zbieranie danych.



CTM360 CyberBlindSpot (bezserwerowy)

Obsługiwane przez:Cyber Threat Management 360

Łącznik CTM360 Cyber Blind Spot (CBS) zapewnia integrację z platformą CBS CTM360 w celu pozyskiwania danych zabezpieczeń w 6 typach modułów: incydentów, dzienników złośliwego oprogramowania, naruszonych poświadczeń, naruszonych kart, naruszenia zabezpieczeń domeny i naruszenia domeny podrzędnej. Ten łącznik używa programu Codeless Connector Framework (CCF) do zbierania danych bezserwerowych.

Typy danych:

  • CBSLog_AzureV2_CL
  • CBS_MalwareLogs_AzureV2_CL
  • CBS_BreachedCredentials_AzureV2_CL
  • CBS_CompromisedCards_AzureV2_CL
  • CBS_DomainInfringement_AzureV2_CL
  • CBS_SubdomainInfringement_AzureV2_CL

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CBSLog_AzureV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • CtM360 CBS API Key: prawidłowy klucz interfejsu API Cyber Blind Spot CTM360 jest wymagany do nawiązania połączenia z punktem końcowym interfejsu API CBS.

Instrukcje dotyczące konfiguracji:

Połącz z Microsoft Sentinel ctm360 Cyber Blind Spot

Ten łącznik używa programu Codeless Connector Framework (CCF) do pozyskiwania danych z ctm360 CBS do Microsoft Sentinel. Dane są zbierane co 5 minut w 6 różnych typach modułów.

Uwaga: ten łącznik tworzy 6 oddzielnych tabel dla różnych typów modułów CBS: Incydenty, Dzienniki złośliwego oprogramowania, Poświadczenia naruszenia zabezpieczeń, Karty naruszone, Naruszenie domeny i Naruszenie poddomeny.

Krok 1. Uzyskiwanie kluczy interfejsu API CTM360

Do skonfigurowania tej integracji potrzebny jest klucz interfejsu API CBS. Te klucze można uzyskać za pomocą następujących linków:

Klucz interfejsu API CBS znaleziony z tego linku: https://platform.ctm360.com/start/integrations po zalogowaniu się przy użyciu konta

Krok 2. Konfigurowanie połączenia

Wprowadź klucz interfejsu API CBS CTM360 i połącz się, aby rozpocząć pozyskiwanie danych.

  • CtM360 CBS API Key: (Wprowadź klucz interfejsu API CTM360 CBS)
  • Włączanie/wyłączanie połączenia

Krok 3. Weryfikowanie pozyskiwania danych

Po nawiązaniu połączenia dane powinny zacząć przepływać w ciągu 5–10 minut. Użyj powyższych przykładowych zapytań, aby zweryfikować pozyskiwanie danych dla każdego typu modułu.

Uwaga: Uwaga: wstępne pozyskiwanie danych może potrwać do 30 minut. Łącznik sonduje co 5 minut za pomocą 5-minutowego okna stopniowego.



CTM360 HackerView (bezserwerowy)

Obsługiwane przez:Cyber Threat Management 360

Łącznik CTM360 HackerView umożliwia pozyskiwanie problemów z zabezpieczeniami i luk w zabezpieczeniach z zewnętrznej platformy hackerview do zarządzania powierzchnią ataków zewnętrznych w Microsoft Sentinel. Ten łącznik bezserwerowy używa interfejsu API REST do automatycznego ściągania danych o problemach na potrzeby analizy i korelacji z innymi zdarzeniami zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
HackerViewLog_AzureV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Klucz interfejsu API hackerView: wymagany jest prawidłowy klucz interfejsu API HackerView z uprawnieniami dostępu do danych problemów.

Instrukcje dotyczące konfiguracji:

Połącz narzędzie CTM360 HackerView z Microsoft Sentinel

Ten łącznik używa interfejsu API REST programu HackerView do automatycznego pozyskiwania problemów z zabezpieczeniami w Microsoft Sentinel.

Uwaga: jest to łącznik bezserwerowy, który używa struktury łączników bezkodowych Azure (CCF). Nie jest wymagane wdrożenie funkcji Azure.

Krok 1. Uzyskiwanie kluczy interfejsu API CTM360

Do skonfigurowania tej integracji potrzebny jest klucz interfejsu API programu HackerView. Te klucze można uzyskać za pomocą następujących linków:

Klucz interfejsu API programu HackerView znaleziony z tego linku: https://platform.ctm360.com/start/integrations po zalogowaniu się przy użyciu konta

Krok 2. Konfigurowanie łącznika

Wprowadź klucz interfejsu API HackerView i kliknij pozycję Połącz, aby rozpocząć pozyskiwanie danych.

  • Klucz interfejsu API: (Wprowadź klucz interfejsu API programu HackerView)
  • Włączanie/wyłączanie połączenia

Krok 3. Weryfikowanie pozyskiwania danych

Po nawiązaniu połączenia dane powinny zacząć przepływać w ciągu 5–10 minut. Uruchom następujące zapytanie, aby sprawdzić:

Uwaga: HackerViewLog_AzureV2_CL | take 10



Dzienniki niestandardowe za pośrednictwem usługi AMA

Obsługiwane przez:Microsoft Corporation

Wiele aplikacji rejestruje informacje do plików tekstowych lub JSON zamiast standardowych usług rejestrowania, takich jak dzienniki zdarzeń systemu Windows, dziennik Syslog lub CEF. Łącznik danych dzienników niestandardowych umożliwia zbieranie zdarzeń z plików na komputerach z systemem Windows i Linux oraz przesyłanie ich strumieniowo do utworzonych tabel dzienników niestandardowych. Podczas przesyłania strumieniowego danych można analizować i przekształcać zawartość przy użyciu funkcji DCR. Po zebraniu danych można zastosować reguły analityczne, wyszukiwanie, wyszukiwanie, analizę zagrożeń, wzbogacanie i nie tylko.

UWAGA: Użyj tego łącznika dla następujących urządzeń: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP Server, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
JBossEvent_CL Nie Nie
JuniperIDP_CL Tak Tak
ApacheHTTPServer_CL Tak Tak
Tomcat_CL Tak Tak
meraki_CL Tak Tak
VectraStream_CL Nie Nie
MarkLogicAudit_CL Nie Nie
MongoDBAudit_CL Tak Tak
NGINX_CL Tak Tak
OracleWebLogicServer_CL Tak Tak
PostgreSQL_CL Tak Tak
SquidProxy_CL Tak Tak
Ubiquiti_CL Tak Tak
vcenter_CL Tak Tak
ZPA_CL Tak Tak
SecurityBridgeLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia: aby zbierać dane z maszyn wirtualnych innych niż Azure, muszą mieć zainstalowane i włączone Azure Arc. Dowiedz się więcej

Instrukcje dotyczące konfiguracji:

Włączanie reguły zbierania danych

Dzienniki niestandardowe są zbierane zarówno od agentów systemu Windows, jak i agentów Linux.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>



Inspekcja CyberArk

Obsługiwane przez:CyberArk Support

Łącznik danych Inspekcja CyberArk umożliwia Microsoft Sentinel pozyskiwanie dzienników zdarzeń zabezpieczeń i innych zdarzeń z usługi CyberArk Audit za pośrednictwem interfejsu API REST. Ta integracja ułatwia wykrywanie potencjalnych zagrożeń dla bezpieczeństwa, monitorowanie aktywności użytkowników, analizowanie wzorców współpracy, rozwiązywanie problemów z konfiguracją i uzyskanie dokładniejszego wglądu w środowisko.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyberArk_AuditEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Platforma usługi inspekcji CyberArk: dostęp do wykonywania wymaganych konfiguracji na platformie CyberArk Audit

Instrukcje dotyczące konfiguracji:

Połącz się z interfejsem API inspekcji CyberArk, aby rozpocząć zbieranie dzienników zdarzeń w Microsoft Sentinel

Wykonaj poniższe kroki, aby zintegrować Microsoft Sentinel z usługą CyberArk Audit i włączyć scentralizowane monitorowanie działań systemowych i użytkowników w ramach Microsoft Sentinel. Możesz również zapoznać się z dokumentacją inspekcji CyberArk i postępować zgodnie z instrukcjami do kroku 5.

Krok 1. Tworzenie nowej integracji rozwiązania SIEM

  1. W portalu CyberArk przejdź do strony Administration.
  2. Wybierz pozycję My environmentExport to SIEM>Integrations>.
  3. Na stronie Integracje SIEM wybierz pozycję Create>Create SIEM integration
  4. Create a SIEM integration Na stronie wybierz Identity Administration link, aby utworzyć sieć web serwera OAuth w usłudze Identity Administration. Krok 2. Tworzenie aplikacji internetowej serwera OAuth2 w administracji tożsamością
  5. Na Identity Administration stronie z menu po lewej stronie wybierz pozycję Apps & Widgets>Web Apps
  6. Wybierz Add Web Apps i utwórz OAuth2 server typ aplikacji internetowej na Custom karcie.
  7. Wprowadź CyberArkAuditforMicrosoftSentinel w polach ApplicationID i Name .
  8. Tokens Na karcie upewnij się, że wartość w Token Type polu jest jwtR256 wybrana i wybrano tylko Client Creds metodę autoryzacji.
  9. Kliknij Add kartę i wprowadź Scope .isp.audit.events:read
  10. Na karcie skopiuj Advanced i wklej następujący skrypt, a następnie kliknij przycisk Zapisz.
		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');
  1. Kliknij przycisk Save. Krok 3. Tworzenie użytkownika usługi w usłudze Identity Administration
  2. Przejdź do obszaru Core Services>Users, wybierz pozycję .Add User
  3. W sekcji wprowadź Account ciąg Login name i Display name jako MicrosoftSentinel. Dodaj nowe hasło lub automatycznie wygeneruj hasło.
  4. Wybierz pozycję OAuth confidential client.
  5. Na Application Settings karcie kliknij przycisk Add.
  6. CyberArkAuditforMicrosoftSentinel Wybierz aplikację. Jest to nazwa utworzona w usłudze internetowej. Krok 4. Udzielanie użytkownikowi usługi uprawnień aplikacji internetowej
  7. Przejdź do utworzonej aplikacji internetowej CyberArkAuditforMicrosoftSentinel .
  8. Permissions Na karcie kliknijAdd, aby znaleźć użytkownikaMicrosoftSentinel, a następnie kliknij przycisk Add.
  9. Ustaw następujące uprawnienia dla użytkownika:
    • Udzielić
    • Widok
    • Uruchom
    • Automatyczne wdrażanie kroku 5. Definiowanie opisu integracji
  10. Przejdź do Administration.
  11. Wybierz pozycję My environmentExport to SIEM>Integrations>.
  12. Wybierz pozycję Create>Create SIEM integration.
  13. Wprowadź nazwę jako Microsoft Sentinel Integration i opcjonalnie dodaj opis.
  14. Kliknij przycisk Apply. Krok 6. Łączenie usługi inspekcji CyberArk z łącznikiem danych Microsoft Sentinel

Uwaga: Skopiuj wszystkie szczegóły przechwycone w poprzednich krokach i połącz się z usługą CyberArk Audit.

  • Nazwa aplikacji serwera OAuth2: (np. AuditforMicrosoftSentinel)
  • Klucz interfejsu API inspekcji: (Klucz interfejsu API można pobrać z usługi Inspekcja)
  • Punkt końcowy tożsamości: (np. kln9281.id.cyberark.cloud)
  • Podstawowy adres URL interfejsu API inspekcji: (np. org-test.audit.cyberark.cloud)
  • Akcja filtrowania zapytań inspekcji (opcjonalnie): (np. {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
  • Audit Query Filter Application Code (Optional): (np. {"op":"include","params":["IDP","CMS"]})
  • Typ inspekcji inspekcji filtru zapytania (opcjonalnie): (np. {"op":"include","params":["Failure"]})



CyberArkAudit (przy użyciu Azure Functions)

Obsługiwane przez:CyberArk Support

Łącznik danych Inspekcja CyberArk umożliwia pobieranie dzienników zdarzeń zabezpieczeń usługi CyberArk Audit i innych zdarzeń do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyberArk_AuditEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Inspekcja szczegółów połączeń interfejsu API REST i poświadczeń: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint i AuditApiBaseUrl są wymagane do wykonywania wywołań interfejsu API.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Azure Blob Storage w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

UWAGA: Klucze lub tokeny autoryzacji interfejsu API są bezpiecznie przechowywane w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy.

KROK 1 — Kroki konfiguracji integracji rozwiązania SIEM inspekcji cyberarku

Postępuj zgodnie z instrukcjami , aby uzyskać szczegóły połączenia i poświadczenia.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Inspekcja cyberarku należy użyć nazwy obszaru roboczego i lokalizacji obszaru roboczego (można skopiować z następujących elementów).

  • Nazwa obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Lokalizacja obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych inspekcji CyberArk przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź nazwę CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych inspekcji CyberArk za pomocą Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. CyberArkXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.10.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (uwzględniana wielkość liter): CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Cybersixgill Actionable Alerts (przy użyciu Azure Functions)

Obsługiwane przez:Cybersixgill

Alerty z możliwością działania zapewniają dostosowane alerty na podstawie skonfigurowanych zasobów

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyberSixgill_Alerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: Client_ID i Client_Secret są wymagane do wykonywania wywołań interfejsu API.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Cybersixgill w celu ściągania alertów do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych alertów cybersixgill Actionable Alerts przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, identyfikator klienta, klucz tajny klienta, timeinterval i wdrożenie.

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych alertów cybersixgill Actionable Alerts z Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. CybersixgillAlertsXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:https://<CustomerId>.ods.opinsights.azure.us
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Alerty usługi Cyble Vision

Obsługiwane przez:Cyble Support

Łącznik danych CCF alertów Cyble Vision umożliwia pozyskiwanie alertów o zagrożeniach z usługi Cyble Vision do Microsoft Sentinel przy użyciu łącznika codeless Connector Framework. Zbiera dane alertów za pośrednictwem interfejsu API, normalizuje je i przechowuje w tabeli niestandardowej na potrzeby zaawansowanego wykrywania, korelacji i odpowiedzi.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CybleVisionAlerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Token interfejsu API Cyble Vision: wymagany jest token interfejsu API z platformy Cyble Vision.

Instrukcje dotyczące konfiguracji:

Krok 1. Generowanie tokenu interfejsu API z platformy Cyble

Przejdź do platformy Cyble i zaloguj się przy użyciu poświadczeń usługi Cyble Vision.

Po zalogowaniu przejdź do panelu po lewej stronie i przewiń w dół do pozycji Narzędzia. Kliknij pozycję Dostęp do interfejsów API. W prawym górnym rogu strony kliknij ikonę + (Dodaj), aby wygenerować nowy klucz interfejsu API. Podaj alias (przyjazną nazwę klucza) i kliknij pozycję Generuj. Skopiuj wygenerowany token interfejsu API i zapisz go bezpiecznie.

KROK 2 — Konfigurowanie łącznika danych

Wróć do Microsoft Sentinel i otwórz stronę konfiguracji łącznika danych Cyble Vision Alerts. Wklej token interfejsu API Cyble w polu Token interfejsu API w obszarze "Szczegóły interfejsu API".

  • Token interfejsu API: (Wprowadź token interfejsu API)
  • Interwał zapytań (w minutach): (wprowadź czas w minutach (np. 10))
  • Włączanie/wyłączanie połączenia



Pakiety Cyborg Security HUNTER Hunt

Obsługiwane przez:Cyborg Security

Cyborg Security jest wiodącym dostawcą zaawansowanych rozwiązań do wyszukiwania zagrożeń, z misją umożliwienia organizacjom najnowocześniejszych technologii i narzędzi do współpracy w celu proaktywnego wykrywania zagrożeń cybernetycznych i reagowania na nie. Flagowa oferta Cyborg Security, platforma HUNTER, łączy w sobie zaawansowaną analizę, wyselekcjonowaną zawartość do wyszukiwania zagrożeń i kompleksowe możliwości zarządzania polowaniami, aby stworzyć dynamiczny ekosystem do skutecznych operacji polowania na zagrożenia.

Wykonaj kroki, aby uzyskać dostęp do społeczności Cyborg Security i skonfigurować funkcje "Otwórz w narzędziu" na platformie HUNTER.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityEvent Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Uwaga: użyj następującego linku, aby znaleźć identyfikator Azure Tentant Jak znaleźć identyfikator dzierżawy usługi Azure Active Directory

  • ResourceGroupName & WorkspaceName: <wartość zmiennej podana w czasie instalacji>
  • WorkspaceID: <wartość zmiennej podana w czasie instalacji>

1. Utwórz konto społeczności HUNTER firmy Cyborg Security

Cyborg Security oferuje społeczności Memebers dostęp do podzbioru Emerging Threat Collections i pakietów polowania.

Utwórz bezpłatne konto commuinity, aby uzyskać dostęp do pakietów Cyborg Security's Hunt: Zarejestruj się teraz!

2. Konfigurowanie funkcji otwierania w narzędziu

  1. Przejdź do sekcji Środowisko platformy HUNTER.

  2. Wypełnij te główne identyfikatory URI środowiska w sekcji z etykietą Microsoft Sentinel. Zastąp <pogrubione elementy> identyfikatorami i nazwami subskrypcji, grup zasobów i obszarów roboczych.

    https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

  3. Kliknij Zapisz.

3. Wykonaj pacakge polowanie HUNTER w Microsoft Sentinel

Zidentyfikuj pakiet wyszukiwania Cyborg Security HUNTER do wdrożenia i użyj przycisku Otwórz w narzędziu, aby szybko otworzyć Microsoft Sentinel i przygotować zawartość wyszukiwania zagrożeń.



Łącznik danych DSPM Microsoft Sentinel Cyera

Obsługiwane przez:Cyera Inc

Łącznik danych DSPM Cyera umożliwia łączenie się z dzierżawą DSPM Cyera i pozyskiwanie klasyfikacji, zasobów, problemów i zasobów tożsamości/definicji w Microsoft Sentinel. Łącznik danych jest oparty na strukturze łączników bezkodowych Microsoft Sentinel i używa interfejsu API Cyery do pobierania danych telemetrycznych DSPM Cyery po odebraniu, co może być skorelowane ze zdarzeniami zabezpieczeń tworzącymi kolumny niestandardowe, dzięki czemu zapytania nie muszą ponownie ich analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyeraClassifications_CL Nie Nie
CyeraAssets_CL Nie Nie
CyeraAssets_MS_CL Nie Nie
CyeraIssues_CL Nie Nie
CyeraIdentities_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Uwierzytelnianie DSPM Cyera

Nawiązywanie połączenia z aplikacją Cyera DSPM tenenant za pośrednictwem osobistych tokenów dostępu

  • Identyfikator klienta osobistego tokenu dostępu Cyera: (client_id)
  • Klucz tajny osobistego tokenu dostępu Cyera: (secret_key)
  • Włączanie/wyłączanie połączenia



Powierzchnia ataku CYFIRMA

Obsługiwane przez:CYFIRMA

Nie dotyczy

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyfirmaASCertificatesAlerts_CL Tak Tak
CyfirmaASConfigurationAlerts_CL Tak Tak
CyfirmaASDomainIPReputationAlerts_CL Tak Tak
CyfirmaASOpenPortsAlerts_CL Tak Tak
CyfirmaASCloudWeaknessAlerts_CL Tak Tak
CyfirmaASDomainIPVulnerabilityAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Powierzchnia ataku CYFIRMA

Połącz się z urządzeniem CYFIRMA Attack Surface, aby pozyskiwać alerty do Microsoft Sentinel. Ten łącznik używa interfejsu API DeCYFIR/DeTCT do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, analizując dane zabezpieczeń w tabelach niestandardowych podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

  • Adres URL interfejsu API CYFIRMA: (https://decyfir.cyfirma.com)
  • Klucz interfejsu API CYFIRMA: (klucz interfejsu API CYFIRMA)
  • Delta interfejsu API: (delta interfejsu API)
  • Włączanie/wyłączanie połączenia



Inteligencja marki CYFIRMA

Obsługiwane przez:CYFIRMA

Nie dotyczy

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyfirmaBIDomainITAssetAlerts_CL Tak Tak
CyfirmaBIExecutivePeopleAlerts_CL Tak Tak
CyfirmaBIProductSolutionAlerts_CL Tak Tak
CyfirmaBISocialHandlersAlerts_CL Tak Tak
CyfirmaBIMaliciousMobileAppsAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Inteligencja marki CYFIRMA

Połącz się z aplikacją CYFIRMA Brand Intelligence, aby pozyskiwać dane alertów do Microsoft Sentinel. Ten łącznik używa interfejsu API alertów DeCYFIR/DeTCT do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, analizując dane zabezpieczeń w tabelach niestandardowych podczas pozyskiwania. Zwiększa to wydajność i wydajność dzięki wyeliminowaniu konieczności analizowania czasu wykonywania zapytań.

  • Adres URL interfejsu API CYFIRMA: (https://decyfir.cyfirma.com)
  • Klucz interfejsu API CYFIRMA: (klucz interfejsu API CYFIRMA)
  • Delta interfejsu API: (delta interfejsu API)
  • Włączanie/wyłączanie połączenia



Konta z naruszonymi zabezpieczeniami CYFIRMA

Obsługiwane przez:CYFIRMA

Łącznik danych Kont naruszeń CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR/DeTCT do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu używa interfejsu API DeCYFIR/DeTCT do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyfirmaCompromisedAccounts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Konta z naruszonymi zabezpieczeniami CYFIRMA

Łącznik danych kont z naruszonymi zabezpieczeniami CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR/DeTCT do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu używa interfejsu API DeCYFIR/DeTCT do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

  • Adres URL interfejsu API CYFIRMA: (https://decyfir.cyfirma.com)
  • Klucz interfejsu API CYFIRMA: (klucz interfejsu API CYFIRMA)
  • Delta interfejsu API: (delta interfejsu API)
  • Włączanie/wyłączanie połączenia



Cyberwywiadanie CYFIRMA

Obsługiwane przez:CYFIRMA

Łącznik danych analizy cybernetycznej CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu korzysta z interfejsu API alertów DeCYFIR do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyfirmaIndicators_CL Tak Tak
CyfirmaThreatActors_CL Tak Tak
CyfirmaCampaigns_CL Tak Tak
CyfirmaMalware_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Cyberwywiadanie CYFIRMA

Ten łącznik udostępnia dzienniki Wskaźniki, Podmioty zagrożeń, Złośliwe oprogramowanie i Kampanie z analizy cybernetycznej CYFIRMA. Łącznik używa interfejsu API DeCYFIR do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, analizując dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

  • Adres URL interfejsu API CYFIRMA: (https://decyfir.cyfirma.com)
  • Klucz interfejsu API CYFIRMA: (klucz interfejsu API CYFIRMA)
  • Ściągnij wszystkie IoC lub dostosowane IoC: (wszystkie IoC lub dostosowane IoC)
  • Delta interfejsu API: (delta interfejsu API)
  • Zalecane akcje: (Zalecana akcja może być dowolna z:Wszystkie/Monitor/Blokuj)
  • Skojarzony aktor zagrożeń: (Czy każdy aktor zagrożeń jest skojarzony z usługami IoC)
  • Włączanie/wyłączanie połączenia



CYFIRMA Digital Risk

Obsługiwane przez:CYFIRMA

Łącznik danych CYFIRMA Digital Risk Alerts umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR/DeTCT do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu korzysta z interfejsu API alertów DeCYFIR do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyfirmaDBWMPhishingAlerts_CL Tak Tak
CyfirmaDBWMRansomwareAlerts_CL Tak Tak
CyfirmaDBWMDarkWebAlerts_CL Tak Tak
CyfirmaSPESourceCodeAlerts_CL Tak Tak
CyfirmaSPEConfidentialFilesAlerts_CL Tak Tak
CyfirmaSPEPIIAndCIIAlerts_CL Tak Tak
CyfirmaSPESocialThreatAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

CYFIRMA Digital Risk

Połącz się z cyfrowymi alertami o ryzyku CYFIRMA, aby pozyskiwać dzienniki do Microsoft Sentinel. Ten łącznik używa interfejsu API DeCYFIR/DeTCT do pobierania alertów i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR w celu wydajnego analizowania dzienników.

  • Adres URL interfejsu API CYFIRMA: (https://decyfir.cyfirma.com)
  • Klucz interfejsu API CYFIRMA: (klucz interfejsu API CYFIRMA)
  • Delta interfejsu API: (delta interfejsu API)
  • Włączanie/wyłączanie połączenia



Analiza luk w zabezpieczeniach CYFIRMA

Obsługiwane przez:CYFIRMA

Łącznik danych analizy luk w zabezpieczeniach CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR do Microsoft Sentinel. Oparty na Microsoft Sentinel platformie łączników bez kodu korzysta z interfejsu API CYFIRMA do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyfirmaVulnerabilities_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Analiza luk w zabezpieczeniach CYFIRMA

Ten łącznik udostępnia dzienniki luk w zabezpieczeniach z analizy luk w zabezpieczeniach CYFIRMA. Łącznik używa interfejsu API DeCYFIR do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, analizując dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.

  • Adres URL interfejsu API CYFIRMA: (https://decyfir.cyfirma.com)
  • Klucz interfejsu API CYFIRMA: (klucz interfejsu API CYFIRMA)
  • Delta interfejsu API: (delta interfejsu API)
  • Luki w zabezpieczeniach związane z dostawcą:
  • Luki w zabezpieczeniach związane z produktem:
  • Produkt z lukami w zabezpieczeniach Version-Associated:
  • Włączanie/wyłączanie połączenia



Zdarzenia zabezpieczeń cynerio

Obsługiwane przez:Cynerio

Łącznik Cynerio umożliwia łatwe łączenie zdarzeń zabezpieczeń cynerio z Microsoft Sentinel, aby wyświetlić zdarzenia IDS. Zapewnia to lepszy wgląd w stan zabezpieczeń sieci organizacji i poprawia możliwości operacji zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CynerioEvent_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Konfigurowanie i łączenie programu Cynerio

Program Cynerio może integrować się ze zdarzeniami i eksportować je bezpośrednio do Microsoft Sentinel za pośrednictwem serwera Azure Server. Wykonaj następujące kroki, aby ustanowić integrację:

  1. W konsoli Cynerio przejdź do karty Integracje ustawień > (ustawienie domyślne), a następnie kliknij przycisk +Dodaj integrację w prawym górnym rogu.

  2. Przewiń w dół do sekcji SIEM .

  3. Na karcie Microsoft Sentinel kliknij przycisk Połącz.

  4. Zostanie otwarte okno Szczegóły integracji. Użyj poniższych parametrów, aby wypełnić formularz i skonfigurować połączenie.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Cyren Threat Intelligence

Obsługiwane przez:Data443 Risk Mitigation, Inc.

Pozyskiwanie wskaźników reputacji adresów IP i adresów URL złośliwego oprogramowania z Cyren przy użyciu programu Common Connector Framework (CCF).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cyren_Indicators_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Tokeny JWT Cyren: tokeny JWT przechowywane w Azure Key Vault lub udostępniane w czasie wdrażania.

Instrukcje dotyczące konfiguracji:

Łączenie z analizą zagrożeń Cyren

Aby włączyć łącznik Cyren Threat Intelligence, podaj poniżej tokeny JWT i kliknij pozycję Połącz.

Uwaga: Możesz użyć kanału informacyjnego lub obu tych kanałów w zależności od subskrypcji. Pozostaw pole tokenu puste dla dowolnego kanału informacyjnego, którego nie zakupiono — zostaną wdrożone tylko łączniki dla podanych tokenów.

W celu zwiększenia zabezpieczeń można włączyć integrację Key Vault w celu przechowywania i pobierania tokenów JWT.

  • Token JWT reputacji adresu IP (opcjonalnie): (Pozostaw pusty, jeśli nie został zakupiony)
  • Token JWT adresu URL złośliwego oprogramowania (opcjonalnie): (Pozostaw pusty, jeśli nie został zakupiony)
  • Włączanie/wyłączanie połączenia



Incydenty związane z inteligentnym soarem D3

Obsługiwane przez:D3 Security

Łącznik danych Smart SOAR D3 ściąga zdarzenia z rozwiązania D3 Smart SOAR do Microsoft Sentinel przy użyciu punktu końcowego polecenia interfejsu API REST bez kodu D3.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
D3SOARIncidents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Łączenie aplikacji Smart SOAR z usługą D3 z Microsoft Sentinel

Wymagania wstępne: w obszarze D3 Smart SOAR przejdź do obszaru Zarządzanie organizacją → lokacje, wybierz lokację, z którą się łączysz, i ustaw jej strefę czasową na (UTC+00:00) Uniwersalny czas koordynowany. Dzięki temu znaczniki czasu zdarzenia są prawidłowo dopasowane do Microsoft Sentinel.

Wprowadź poniżej szczegóły połączenia smart SOAR D3. Zdarzenia będą sondowane co 5 minut i zapisywane w tabeli D3SOARIncidents_CL. Adres URL serwera — podstawowy adres URL wdrożenia inteligentnego soara D3 do ścieżki lokacji włącznie. Nie dołączaj ścieżki interfejsu API. Nazwa użytkownika — twoja nazwa użytkownika konta smart SOAR D3 (taka sama jak nazwa logowania do portalu). Site — nazwa witryny smart SOAR D3, do której należy Twoje konto (np. Security Operations). D3 JWT — token internetowy JSON wystawiony przez firmę D3 Smart SOAR na potrzeby uwierzytelniania interfejsu API.

  • Adres URL serwera: (https://poc.bemimo.com/ce_site/VSOC)
  • Nazwa użytkownika: (administrator)
  • Lokacja: (Operacje zabezpieczeń)
  • D3 JWT: (ey...)
  • Włączanie/wyłączanie połączenia



Łącznik darktrace dla interfejsu API REST Microsoft Sentinel

Obsługiwane przez:Darktrace

Łącznik interfejsu API REST Darktrace wypycha zdarzenia czasu rzeczywistego z darktrace do Microsoft Sentinel i jest przeznaczony do użycia z rozwiązaniem Darktrace dla Sentinel. Łącznik zapisuje dzienniki w niestandardowej tabeli dzienników o nazwie "darktrace_model_alerts_CL"; Naruszenia modelu, zdarzenia analityków sztucznej inteligencji, alerty systemowe i alerty Email mogą być pozyskiwane — dodatkowe filtry można skonfigurować na stronie Konfiguracja systemu Darktrace. Dane są wypychane do Sentinel z wzorców Darktrace.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
darktrace_model_alerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Darktrace Prerequisites: Aby użyć tego łącznika danych, wymagany jest wzorzec darktrace z systemem v5.2+. Dane są wysyłane do interfejsu API modułu zbierającego dane HTTP Azure monitora za pośrednictwem protokołu HTTPs z wzorców Darktrace, dlatego wymagana jest łączność wychodząca z wzorca Darktrace do interfejsu API REST Microsoft Sentinel.
  • Filtruj dane darktrace: podczas konfiguracji można skonfigurować dodatkowe filtrowanie na stronie Konfiguracja systemu Darktrace w celu ograniczenia ilości lub typów wysyłanych danych.
  • Wypróbuj rozwiązanie darktrace Sentinel: możesz maksymalnie wykorzystać ten łącznik, instalując rozwiązanie Darktrace dla Microsoft Sentinel. Zapewni to skoroszyty do wizualizacji danych alertów i reguł analizy w celu automatycznego tworzenia alertów i zdarzeń z naruszeń modelu Darktrace i zdarzeń analityka sztucznej inteligencji.

Instrukcje dotyczące konfiguracji:

  1. Szczegółowe instrukcje dotyczące konfiguracji można znaleźć w portalu klienta Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Zanotuj identyfikator obszaru roboczego i klucz podstawowy. Te szczegóły należy wprowadzić na stronie Konfiguracja systemu Darktrace.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Konfiguracja darktrace

  1. Wykonaj następujące kroki na stronie Konfiguracja systemu Darktrace:
  2. Przejdź do strony Konfiguracja systemu (menu > główne Administracja > konfiguracji systemu)
  3. Przejdź do pozycji Konfiguracja modułów i kliknij kartę konfiguracji "Microsoft Sentinel"
  4. Wybierz pozycję "HTTPS (JSON)" i naciśnij pozycję "Nowy"
  5. Wypełnij wymagane szczegóły i wybierz odpowiednie filtry
  6. Kliknij pozycję "Zweryfikuj ustawienia alertu", aby spróbować uwierzytelnić i wysłać alert testowy
  7. Uruchom przykładowe zapytanie "Wyszukaj alerty testowe", aby sprawdzić, czy alert testowy został odebrany



DataBahn

Obsługiwane przez:Databahn

Łącznik DataBahn umożliwia wypychanie danych telemetrycznych platformy czasu rzeczywistego ze środowiska DataBahn bezpośrednio do Microsoft Sentinel przy użyciu wzorca wypychania programu Codeless Connector Framework (CCF). Ten łącznik pozyskuje dzienniki inspekcji, alerty operacyjne i spis urządzeń do niestandardowych tabel usługi Log Analytics na potrzeby analizy, alertów i wizualizacji.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
databahn_audit_logs_CL Nie Nie
databahn_alerts_CL Nie Nie
databahn_device_inventory_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik umożliwia platformie DataBahn wypychanie dzienników inspekcji, alertów i spisu urządzeń bezpośrednio do Microsoft Sentinel za pośrednictwem interfejsu API Azure Monitor Ingestion.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Konfigurowanie platformy DataBahn

Użyj następujących parametrów, aby skonfigurować miejsce docelowe usługi DataBahn Highway w celu wypychania danych do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki inspekcji Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Alerty Stream Name: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream spisu urządzeń: <wartość zmiennej podana w czasie instalacji>



Datalake2Sentinel

Obsługiwane przez:Orange Cyberdefense

To rozwiązanie instaluje łącznik Datalake2Sentinel utworzony przy użyciu struktury łączników bezkodowych i umożliwia automatyczne pozyskiwanie wskaźników analizy zagrożeń z platformy CTI usługi Datalake Orange Cyberdefense do Microsoft Sentinel za pośrednictwem interfejsu API REST przekazywania wskaźników. Po zainstalowaniu rozwiązania skonfiguruj i włącz ten łącznik danych, postępując zgodnie ze wskazówkami w widoku Zarządzanie rozwiązaniem.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Instrukcje instalacji i instalacji

Użyj dokumentacji z tego repozytorium Github, aby zainstalować i skonfigurować usługę Datalake w celu Microsoft Sentinel łącznika.

https://github.com/cert-orangecyberdefense/datalake2sentinel



Łącznik danych alertów pulsu dataminr (przy użyciu Azure Functions)

Obsługiwane przez:Obsługa usługi Dataminr

Łącznik danych alertów pulsu usługi Dataminr wprowadza analizę w czasie rzeczywistym opartą na sztucznej inteligencji do Microsoft Sentinel w celu szybszego wykrywania zagrożeń i reagowania na nie.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DataminrPulse_Alerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Wymagane poświadczenia/uprawnienia usługi Dataminr:

a. Aby korzystać z tego łącznika danych, użytkownicy muszą mieć prawidłowy identyfikator klienta i wpis tajnyinterfejsu API usługi Dataminr Pulse.

b. W witrynie internetowej dataminr Pulse należy skonfigurować co najmniej jedną listę obserwatorów pulsu dataminr.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, aby nawiązać połączenie z usługą DataminrPulse, w której dzienniki są wypychane za pośrednictwem funkcji RTAP dataminr i będą pozyskiwać dzienniki do Microsoft Sentinel. Ponadto łącznik pobierze pozyskane dane z tabeli dzienników niestandardowych i utworzy wskaźniki analizy zagrożeń w usłudze Microsoft Sentinel Threat Intelligence. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1— Poświadczenia dla identyfikatora klienta pulsu dataminr i klucza tajnego klienta

  • Uzyskaj identyfikator użytkownika/hasło usługi Dataminr Pulse i identyfikator klienta interfejsu API/wpis tajny z menedżera sukcesu klienta usługi Dataminr (CSM).

KROK 2. Konfigurowanie list obserwowanych w portalu dataminr Pulse.

Wykonaj kroki opisane w tej sekcji, aby skonfigurować listy obserwowanych w portalu:

  1. Zaloguj się do witryny internetowej Dataminr Pulse.

  2. Kliknij ikonę koła zębatego ustawień i wybierz pozycję Zarządzaj listami.

  3. Wybierz typ listy obserwowanych, którą chcesz utworzyć (Cyber, Topic, Company itp.), a następnie kliknij przycisk Nowa lista .

  4. Podaj nazwę nowej listy obserwowanych i wybierz dla niej kolor wyróżnienia lub zachowaj kolor domyślny.

  5. Po zakończeniu konfigurowania listy obserwowanych kliknij przycisk Zapisz , aby ją zapisać.

KROK 3 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych DataminrPulse.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 4 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji klucz tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych DataminrPulse. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych DataminrPulse.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 5 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 6 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych dataminr Pulse Microsoft Sentinel, mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących) łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika DataminrPulse.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Identyfikator obszaru roboczego nazwy funkcji Alerty klucza obszaru roboczegoTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Microsoft Sentinel Dataminr Pulse przy użyciu Azure Functions (Wdrażanie za pośrednictwem Visual Studio Code).

1) Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. DmPulseXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.8 lub nowszą.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

2) Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): Alerty klucza obszaru roboczego nazwy funkcji Identyfikator obszaru roboczegoTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId LogLevel LogAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

KROK 7 — Kroki po wdrożeniu

1) Pobieranie punktu końcowego aplikacji funkcji

  1. Przejdź do strony omówienie funkcji Azure i kliknij pozycję "Funkcje" w lewym bloku.
  2. Kliknij funkcję o nazwie "DataminrPulseAlertsHttpStarter".
  3. Przejdź do pozycji "GetFunctionurl" i skopiuj adres URL funkcji.
  4. W skopiowanych adresach URL funkcji zastąp ciąg {functionname} ciągiem "DataminrPulseAlertsSentinelOrchestrator" .

2) Aby dodać ustawienia integracji w usłudze Dataminr RTAP przy użyciu adresu URL funkcji

  1. Otwórz dowolne narzędzie żądania interfejsu API, takie jak Postman.
  2. Kliknij pozycję "+", aby utworzyć nowe żądanie.
  3. Wybierz metodę żądania HTTP jako "POST".
  4. Wprowadź przedpłatę adresu URL w punkcie 1) w części adres URL żądania.
  5. W obszarze Treść wybierz nieprzetworzony kod JSON i podaj treść żądania w następujący sposób(uwzględnia wielkość liter): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Po podaniu wszystkich wymaganych szczegółów kliknij pozycję Wyślij.
  7. W odpowiedzi HTTP zostanie wyświetlony identyfikator ustawienia integracji z kodem stanu 200.
  8. Zapisz identyfikator integracji na potrzeby przyszłego odwołania.

Teraz skończymy z dodawaniem ustawień integracji dla funkcji RTAP usługi Dataminr. Gdy usługa Dataminr RTAP wyśle dane alertu, aplikacja funkcji zostanie wyzwolona i powinny być widoczne dane alertów z tabeli obszaru roboczego Dataminr Pulse do obszaru roboczego LogAnalytics o nazwie "DataminrPulse_Alerts_CL".



Datawiza DAP

Obsługiwane przez:Datawiza Technology Inc.

Łączy dzienniki dap usługi Datawiza z usługą Azure Log Analytics za pośrednictwem interfejsu API REST

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
datawizaserveraccess_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Krok 1. Przeczytaj szczegółową dokumentację

Proces instalacji został szczegółowo udokumentowany w witrynie dokumentacji Microsoft Sentinel integracji. Użytkownik powinien dokładniej zapoznać się z naszą pomocą techniczną (support@datawiza.com), aby zrozumieć instalację i debugowanie integracji.

Krok 2. Instalowanie łącznika Sentinel Datawiza

Następnym krokiem jest zainstalowanie usługi przesyłania dalej dzienników datawiza w celu wysyłania dzienników do Microsoft Sentinel. Dokładna instalacja będzie zależeć od środowiska. Aby uzyskać szczegółowe informacje, zapoznaj się z Microsoft Sentinel integracji.

Krok 3. Testowanie pozyskiwania danych

Po około 20 minutach uzyskaj dostęp do obszaru roboczego usługi Log Analytics w Microsoft Sentinel instalacji i znajdź sekcję Dzienniki niestandardowe, aby sprawdzić, czy istnieje tabela datawizaserveraccess_CL. Użyj przykładowych zapytań, aby zbadać dane.



Derdack SIGNL4

Obsługiwane przez:Derdack

W przypadku awarii krytycznych systemów lub zdarzeń związanych z zabezpieczeniami funkcja SIGNL4 łączy "ostatnią milę" z personelem, inżynierami, administratorami IT i pracownikami w terenie. Dodaje ona alerty mobilne w czasie rzeczywistym do usług, systemów i procesów w krótkim czasie. SignL4 powiadamia za pośrednictwem trwałego wypychania mobilnego, wiadomości SMS i połączeń głosowych z potwierdzeniem, śledzeniem i eskalacją. Zintegrowane planowanie obowiązków i zmian zapewnia, że odpowiednie osoby są powiadamiane we właściwym czasie.

Dowiedz się więcej >

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityIncident Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych jest konfigurowany głównie po stronie signl4. Film opisowy można znaleźć tutaj: Integracja aplikacji SIGNL4 z Microsoft Sentinel.

Łącznik SIGNL4: Łącznik SIGNL4 dla Microsoft Sentinel, Azure Security Center i innych dostawców Azure Graph interfejs API Zabezpieczenia zapewnia bezproblemową dwukierunkową integrację z rozwiązaniami Azure Security. Po dodaniu do zespołu signl4 łącznik będzie odczytywał alerty zabezpieczeń z Azure Graph interfejs API Zabezpieczenia i w pełni automatycznie wyzwalał powiadomienia o alertach dla członków zespołu pełniących służbę. Spowoduje to również zsynchronizowanie stanu alertu z protokołu SIGNL4 do programu Graph interfejs API Zabezpieczenia, dzięki czemu jeśli alerty zostaną potwierdzone lub zamknięte, ten stan zostanie również zaktualizowany zgodnie z alertem Azure Graph interfejs API Zabezpieczenia lub odpowiednim dostawcą zabezpieczeń. Jak wspomniano, łącznik używa głównie Azure Graph interfejs API Zabezpieczenia, ale w przypadku niektórych dostawców zabezpieczeń, takich jak Microsoft Sentinel, używa również dedykowanych interfejsów API REST z Azure rozwiązań.

funkcje Microsoft Sentinel

Microsoft Sentinel jest natywnym rozwiązaniem SIEM firmy Microsoft i dostawcą alertów zabezpieczeń w Azure Graph interfejs API Zabezpieczenia. Jednak poziom szczegółów alertu dostępnych w interfejs API Zabezpieczenia programu Graph jest ograniczony do Microsoft Sentinel. W związku z tym łącznik może rozszerzać alerty o dalsze szczegóły (wyniki wyszukiwania reguł szczegółowych informacji) z bazowego obszaru roboczego usługi Microsoft Sentinel Log Analytics. Aby to zrobić, łącznik komunikuje się z interfejsem API REST usługi Log Analytics Azure i wymaga uprawnień (zobacz poniżej). Ponadto aplikacja może również aktualizować stan zdarzeń Microsoft Sentinel, gdy wszystkie powiązane alerty zabezpieczeń są w toku lub rozwiązywane. Aby można było to zrobić, łącznik musi być członkiem grupy "współautorzy Microsoft Sentinel" w subskrypcji Azure. Automatyczne wdrażanie w Azure Poświadczenia wymagane do uzyskania dostępu do wcześniej wymienionych interfejsów API są generowane przez mały skrypt programu PowerShell, który można pobrać poniżej. Skrypt wykonuje następujące zadania:

  • Loguje Cię do subskrypcji Azure (zaloguj się przy użyciu konta administratora)
  • Tworzy nową aplikację dla przedsiębiorstwa dla tego łącznika w Azure AD, nazywanej również jednostką usługi
  • Tworzy nową rolę w Azure IAM, która udziela uprawnień do odczytu/zapytania tylko Azure obszarów roboczych usługi Log Analytics.
  • Dołącza aplikację przedsiębiorstwa do tej roli użytkownika
  • Dołącza aplikację przedsiębiorstwa do roli "współautorzy Microsoft Sentinel"
  • Dane wyjściowe niektórych danych potrzebnych do skonfigurowania aplikacji (zobacz poniżej)

Procedura wdrażania

  1. Pobierz skrypt wdrażania programu PowerShell z tego miejsca.
  2. Przejrzyj skrypt oraz role i zakresy uprawnień wdrażane w celu rejestracji nowej aplikacji. Jeśli nie chcesz używać łącznika z Microsoft Sentinel, możesz usunąć cały kod tworzenia roli i przypisania roli i użyć go tylko do utworzenia rejestracji aplikacji (SPN) w usłudze Azure Active Directory.
  3. Uruchom skrypt. Na końcu dane wyjściowe zawierają informacje, które należy wprowadzić w konfiguracji aplikacji łącznika.
  4. W Azure AD kliknij pozycję "Rejestracje aplikacji". Znajdź aplikację o nazwie "SIGNL4AzureSecurity" i otwórz jej szczegóły
  5. W bloku menu po lewej stronie kliknij pozycję "Uprawnienia interfejsu API". Następnie kliknij pozycję "Dodaj uprawnienie".
  6. W załadowanym bloku w obszarze "Interfejsy API firmy Microsoft" kliknij kafelek "Microsoft Graph", a następnie kliknij pozycję "Uprawnienie aplikacji".
  7. W wyświetlonej tabeli rozwiń węzeł "SecurityEvents" i sprawdź "SecurityEvents.Read.All" i "SecurityEvents.ReadWrite.All".
  8. Kliknij pozycję "Dodaj uprawnienia".

Konfigurowanie aplikacji łącznika SIGNL4

Na koniec wprowadź identyfikatory, które skrypt został wyświetlony w konfiguracji łącznika:

  • identyfikator dzierżawy Azure
  • Identyfikator subskrypcji Azure
  • Identyfikator klienta (aplikacji dla przedsiębiorstw)
  • Klucz tajny klienta (aplikacji dla przedsiębiorstw) Po włączeniu aplikacji rozpocznie odczytywanie alertów Azure Graph interfejs API Zabezpieczenia.

UWAGA: Początkowo odczyta tylko alerty, które wystąpiły w ciągu ostatnich 24 godzin.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>



Digital Shadows Searchlight (przy użyciu Azure Functions)

Obsługiwane przez:Cyfrowe cienie

Łącznik danych usługi Digital Shadows umożliwia pozyskiwanie zdarzeń i alertów z usługi Digital Shadows Searchlight do Microsoft Sentinel przy użyciu interfejsu API REST. Łącznik udostępnia informacje o zdarzeniach i alertach, które ułatwiają badanie, diagnozowanie i analizowanie potencjalnych zagrożeń i zagrożeń bezpieczeństwa.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DigitalShadows_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator konta usługi Digital Shadows, wpis tajny i klucz . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z aplikacją "Digital Shadows Searchlight", aby ściągnąć swoje dzienniki do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji interfejsu API "Digital Shadows Searchlight"

Dostawca powinien podać lub połączyć się ze szczegółowymi krokami konfigurowania punktu końcowego interfejsu API "Digital Shadows Searchlight", aby funkcja Azure mogła pomyślnie uwierzytelnić się w nim, pobrać klucz autoryzacji lub token i ściągnąć dzienniki urządzenia do Microsoft Sentinel.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika "Digital Shadows Searchlight" należy dysponować identyfikatorem obszaru roboczego i kluczem podstawowym obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępnymi kluczami autoryzacji interfejsu API "Digital Shadows Searchlight" lub tokenem.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika "Digital Shadows Searchlight".

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API, "i/lub inne wymagane pola".

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Poniższe instrukcje krok po kroku umożliwiają ręczne wdrożenie łącznika "Digital Shadows Searchlight" przy użyciu Azure Functions.

1. Tworzenie aplikacji funkcji

  1. W portalu Azure przejdź do pozycji Aplikacja funkcji.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy upewnij się, że stos środowiska uruchomieniowego jest ustawiony na python 3.8.
  4. Na karcie Hosting upewnij się, że typ planu jest ustawiony na wartość "Zużycie (bezserwerowe)". 5.wybierz pozycję Konto magazynu
  5. "Dodaj inne wymagane konfiguracje".
  6. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

2. Importowanie kodu aplikacji funkcji (wdrożenie zip)

  1. Instalowanie interfejsu wiersza polecenia Azure
  2. Z typu terminalu az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Plik> zip i naciśnij klawisz Enter. ResourceGroup Ustaw wartość na: nazwa grupy zasobów. FunctionApp Ustaw wartość na: nowo utworzona nazwa aplikacji funkcji. Zip File Ustaw wartość na: digitalshadowsConnector.zip(ścieżka do pliku zip). Uwaga:- Pobierz plik zip z linku — Kod aplikacji funkcji

3. Konfigurowanie aplikacji funkcji

  1. Na ekranie Aplikacja funkcji kliknij nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj poszczególne z następujących ustawień aplikacji "x (liczba)" indywidualnie, w obszarze Nazwa z odpowiednimi wartościami ciągów (wielkość liter) w obszarze Wartość: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opcjonalnie) (dodaj inne ustawienia wymagane przez aplikację funkcji) Ustaw DigitalShadowsURL wartość na: https://api.searchlight.app/v1 Ustaw HighVariabilityClassifications wartość na: exposed-credential,marked-documentClassificationFilterOperation value to: for exclude function app or for include function app (Wartość do: exclude w przypadku wykluczania aplikacji funkcji lub include dołączania aplikacji funkcji)

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Azure Key Vault odwołań.

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://< CustomerId.ods.opinsights.azure.us>.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



DNS

Obsługiwane przez:Microsoft Corporation

Łącznik dziennika DNS umożliwia łatwe łączenie dzienników analitycznych i inspekcji DNS z Microsoft Sentinel i innymi powiązanymi danymi w celu usprawnienia badania.

Po włączeniu zbierania dzienników DNS można:

  • Identyfikowanie klientów, którzy próbują rozpoznać złośliwe nazwy domen.
  • Identyfikowanie nieaktualnych rekordów zasobów.
  • Identyfikowanie często wysyłanych zapytań nazw domen i rozmówców klientów DNS.
  • Wyświetl obciążenie żądaniami na serwerach DNS.
  • Wyświetl błędy dynamicznej rejestracji DNS.

Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DnsEvents Tak Tak
DnsInventory Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Łącznik danych doppel

Obsługiwane przez:Doppel

Łącznik danych jest oparty na Microsoft Sentinel dla zdarzeń i alertów aplikacji Doppel oraz obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zdarzeń zabezpieczeń w kolumny niestandardowe, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DoppelTable_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: Microsoft Entra ID wymaga identyfikatora klienta i klucza tajnego klienta w celu uwierzytelnienia aplikacji. Ponadto dostęp na poziomie globalnego Administracja/właściciela jest wymagany do przypisania aplikacji zarejestrowanej Entra roli wydawcy metryk monitorowania grupy zasobów.
  • Wymaga identyfikatora obszaru roboczego, identyfikatora DCE-URI, identyfikatora DCR-ID: musisz uzyskać identyfikator obszaru roboczego usługi Log Analytics, identyfikator URI pozyskiwania dzienników DCE i identyfikator niezmienny DCR dla konfiguracji.

Instrukcje dotyczące konfiguracji:

Konfigurowanie elementu webhook doppel

Skonfiguruj element Webhook w programie Doppel i punkcie końcowym z uprawnieniami w Microsoft Sentinel do wysyłania danych.

Rejestrowanie aplikacji w Microsoft Entra ID

  1. Otwórz stronę Microsoft Entra ID:

    • Kliknij podany link, aby otworzyć stronę rejestracji Microsoft Entra ID na nowej karcie.
    • Upewnij się, że zalogowano się przy użyciu konta z uprawnieniami na poziomie Administracja.

  2. Utwórz nową aplikację:

    • W portalu Microsoft Entra ID wybierz pozycję Rejestracje aplikacji wymienione na karcie po lewej stronie.
    • Kliknij pozycję + Nowa rejestracja.
    • Wypełnij następujące pola:
  • Nazwa: wprowadź nazwę aplikacji (np. "Aplikacja Doppel").
  • Obsługiwane typy kont: wybierz pozycję Konta tylko w tym katalogu organizacyjnym (tylko katalog domyślny — pojedyncza dzierżawa).
  • Identyfikator URI przekierowania: pozostaw to pole puste, chyba że jest to wymagane inaczej.
    • Kliknij pozycję Zarejestruj , aby utworzyć aplikację.

  1. Skopiuj identyfikatory aplikacji i dzierżawy:

    • Po zarejestrowaniu aplikacji zanotuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy) na stronie Przegląd . Będą one potrzebne do integracji.

  2. Tworzenie wpisu tajnego klienta:

    • W sekcji Certyfikaty & wpisów tajnych kliknij pozycję + Nowy klucz tajny klienta.
    • Dodaj opis (np. "Doppel Secret") i ustaw wygaśnięcie (np. 1 rok).
    • Kliknij pozycję Dodaj.
    • Natychmiast skopiuj wartość wpisu tajnego klienta, ponieważ nie będzie ona wyświetlana ponownie.

Przypisywanie roli "Wydawca metryk monitorowania" do aplikacji

  1. Otwórz grupę zasobów w portalu Azure:

    • Przejdź do grupy zasobów zawierającej obszar roboczy usługi Log Analytics i reguły zbierania danych (DCR ), w której aplikacja ma wypychać dane.

  2. Przypisz rolę:

    • W menu Grupa zasobów kliknij pozycję Kontrola dostępu (IAM) wymieniona na karcie po lewej stronie ..
    • Kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
    • Na liście rozwijanej Rola wyszukaj i wybierz rolę Wydawca metryk monitorowania .
    • W obszarze Przypisywanie dostępu do wybierz pozycję Azure AD użytkownika, grupy lub jednostki usługi.
    • W polu Wybierz wyszukaj zarejestrowaną aplikację według nazwy lub identyfikatora klienta.
    • Kliknij przycisk Zapisz , aby przypisać rolę do aplikacji.

Wdrażanie szablonu usługi ARM

  1. Pobierz identyfikator obszaru roboczego:

    • Po przypisaniu roli będziesz potrzebować identyfikatora obszaru roboczego.
    • Przejdź do obszaru roboczego usługi Log Analytics w grupie zasobów.
    • W sekcji Przegląd znajdź pole Identyfikator obszaru roboczego w obszarze Szczegóły obszaru roboczego.
    • Skopiuj identyfikator obszaru roboczego i podaj go pod ręką w kolejnych krokach.

  2. Kliknij przycisk Wdróż, aby Azure:

    • portal.azure.com.
    • Spowoduje to bezpośrednie uruchomienie wdrożenia w Azure Portal.

  3. Przejrzyj i dostosuj parametry:

    • Na stronie wdrożenia niestandardowego upewnij się, że wdrażasz prawidłową subskrypcję i grupę zasobów.
    • Podaj parametry, takie jak nazwa obszaru roboczego, identyfikator obszaru roboczego i lokalizacja obszaru roboczego.

  4. Kliknij pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz , aby wdrożyć zasoby.

Weryfikowanie konfiguracji tabel DCE, DCR i Log Analytics

  1. Sprawdź punkt końcowy zbierania danych (DCE):

    • Po wdrożeniu przejdź do obszaru Azure Portal Data Collection Endpoints (Punkty końcowe zbierania danych w portalu>).
    • Sprawdź, czy punkt końcowy DoppelDCE został pomyślnie utworzony.
    • Skopiuj identyfikator URI pozyskiwania dzienników DCE, ponieważ będzie to potrzebne do wygenerowania adresu URL elementu webhook.

  2. Potwierdź konfigurację reguły zbierania danych (DCR):

    • Przejdź do obszaru Azure Portal Data Collection Rules (Reguły zbierania danych w portalu>).
    • Upewnij się, że istnieje reguła DoppelDCR .
    • Skopiuj niezmienny identyfikator dcr ze strony Przegląd, ponieważ będzie on potrzebny dla adresu URL elementu webhook.

  3. Zweryfikuj tabelę usługi Log Analytics:

    • Przejdź do obszaru roboczego usługi Log Analytics (połączonego z Microsoft Sentinel).
    • W sekcji Tabele sprawdź, czy tabela DoppelTable_CL została utworzona pomyślnie i czy jest gotowa do odbierania danych.

Integrowanie alertów doppel z Microsoft Sentinel

  1. Zbierz niezbędne informacje:
    • Zbierz następujące szczegóły wymagane do integracji:
  • Identyfikator punktu końcowego zbierania danych (DCE-ID)
  • Identyfikator reguły zbierania danych (DCR-ID)
  • Microsoft Entra poświadczenia: identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta.

  1. Współrzędne z obsługą aplikacji Doppel:

    • Udostępnij zebrane poświadczenia DCE-ID, DCR-ID i Microsoft Entra przy użyciu pomocy technicznej aplikacji Doppel.
    • Poproś o pomoc w skonfigurowaniu tych szczegółów w dzierżawie aplikacji Doppel w celu włączenia konfiguracji elementu webhook.

  2. Konfiguracja elementu webhook firmy Doppel:

    • Doppel użyje podanych identyfikatorów zasobów i poświadczeń do skonfigurowania elementu webhook.
    • Ten element webhook ułatwi przekazywanie alertów z aplikacji Doppel do Microsoft Sentinel.

  3. Sprawdź dostarczanie alertów w Microsoft Sentinel:

    • Sprawdź, czy alerty z aplikacji Doppel zostały pomyślnie przekazane do Microsoft Sentinel.
    • Sprawdź, czy skoroszyt w Microsoft Sentinel został zaktualizowany przy użyciu statystyk alertów, zapewniając bezproblemową integrację danych.



Powiadomienia dragos za pośrednictwem magazynu witryn w chmurze

Obsługiwane przez:Dragos Inc

Dragos Platform to wiodąca przemysłowa platforma cyberbezpieczeństwa, która oferuje kompleksowe wykrywanie zagrożeń cybernetycznych technologii operacyjnych (OT) oparte na niezrównanej wiedzy w zakresie cyberbezpieczeństwa przemysłowego. To rozwiązanie umożliwia wyświetlanie danych powiadomień platformy Dragos w Microsoft Sentinel, dzięki czemu analitycy zabezpieczeń mogą klasyfikować potencjalne zdarzenia cyberbezpieczeństwa występujące w środowiskach przemysłowych.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DragosAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp interfejsu API magazynu witryn dragos: konto użytkownika magazynu witryn, które ma notification:read uprawnienia. To konto musi również mieć klucz interfejsu API, który można podać w celu Sentinel.

Instrukcje dotyczące konfiguracji:

Podaj następujące informacje, aby umożliwić Microsoft Sentinel nawiązywanie połączenia z magazynem witryn Dragos.

  • Nazwa hosta magazynu witryn Dragos: (dragossitestore.example.com)
  • Identyfikator klucza interfejsu API magazynu witryn Dragos: (Wprowadź identyfikator klucza interfejsu API).
  • Klucz tajny klucza interfejsu API magazynu witryn dragos: (wprowadź klucz tajny klucza interfejsu API)
  • Minimalna ważność powiadomienia. Prawidłowe wartości to od 0 do 5 włącznie. Upewnij się, że jest mniejsza lub równa maksymalnej ważności.: (Wprowadź minimalną ważność (zalecane 0 dla wszystkich powiadomień))
  • Maksymalna ważność powiadomienia. Prawidłowe wartości to od 0 do 5 włącznie. Upewnij się, że ważność jest większa lub równa minimalnej ważności.: (Wprowadź maksymalną ważność (zalecane 5 dla wszystkich powiadomień))
  • Włączanie/wyłączanie połączenia



Łącznik zdarzeń Druva

Obsługiwane przez:Druva Inc

Zapewnia możliwość pozyskiwania zdarzeń Druva z interfejsów API Druva

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DruvaSecurityEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Druva API Access: interfejs API Druva wymaga identyfikatora klienta i klucza tajnego klienta do uwierzytelniania

Instrukcje dotyczące konfiguracji:

Uwaga: Konfiguracje umożliwiające nawiązanie połączenia z interfejsem API Rest urządzenia Druva

Krok 1. Tworzenie poświadczeń z poziomu konsoli Druva. Zapoznaj się z tym dokumentem, aby uzyskać instrukcje:- https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

Krok 2. Wprowadź nazwę hosta. W przypadku chmury publicznej jej apis.druva.com

Krok 3. Wprowadź identyfikator klienta i klucz tajny klienta

Połącz się z interfejsem API druvy, aby rozpocząć zbieranie dzienników w Microsoft Sentinel

Podaj wymagane wartości:

  • Nazwa hosta: (przykład: apis.druva.com)



Dynamics 365 Finance i operacje

Obsługiwane przez:Microsoft Corporation

Dynamics 365 for Finance and Operations to kompleksowe rozwiązanie do planowania zasobów przedsiębiorstwa (ERP), które łączy możliwości finansowe i operacyjne, aby pomóc firmom zarządzać codziennymi operacjami. Oferuje on szereg funkcji, które umożliwiają firmom usprawnianie przepływów pracy, automatyzowanie zadań i uzyskiwanie wglądu w wydajność operacyjną.

Łącznik danych Dynamics 365 Finance i Operacje pozyskuje Dynamics 365 Finance i działania administratora operacji oraz dzienniki inspekcji, a także dzienniki procesów biznesowych użytkowników i działań aplikacji loguje się do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
FinanceOperationsActivity_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra rejestracji aplikacji: identyfikator klienta aplikacji i wpis tajny używany do uzyskiwania dostępu do Dynamics 365 Finance i operacji.

Instrukcje dotyczące konfiguracji:

Łączność z usługą Finance and Operations wymaga rejestracji aplikacji Microsoft Entra (identyfikator klienta i wpis tajny). Potrzebny będzie również identyfikator dzierżawy Microsoft Entra i adres URL organizacji operacji finansowych.

Aby włączyć zbieranie danych, utwórz rolę w Dynamics 365 Finance i Operations z uprawnieniami do wyświetlania jednostki Dziennik bazy danych. Przypisz tę rolę do dedykowanego użytkownika finansów i operacji zamapowanego na identyfikator klienta rejestracji aplikacji Microsoft Entra. Wykonaj następujące kroki, aby ukończyć proces:

Krok 1 — rejestracja aplikacji Microsoft Entra

  1. Przejdź do portalu Microsoft Entra.
  2. W obszarze Aplikacje kliknij pozycję Rejestracje aplikacji i utwórz nową rejestrację aplikacji (pozostaw wszystkie wartości domyślne).
  3. Otwórz nową rejestrację aplikacji i utwórz nowy wpis tajny.
  4. Zachowaj identyfikator dzierżawy, identyfikator aplikacji (klienta) i klucz tajny klienta do późniejszego użycia.

Krok 2. Tworzenie roli na potrzeby zbierania danych w obszarze Finanse i operacje

  1. W portalu Finanse i operacje przejdź do obszarów roboczych > Administracja systemem i kliknij pozycję Konfiguracja zabezpieczeń
  2. W obszarze Role kliknij pozycję Utwórz nową i nadaj nowej roli nazwę, np. Przeglądarka dzienników bazy danych.
  3. Wybierz nową rolę na liście ról i kliknij pozycję Uprawnienia i niż Dodaj odwołania.
  4. Z listy uprawnień wybierz pozycję Widok jednostki dziennika bazy danych .
  5. Kliknij pozycję Nieopublikowane obiekty, a następnie opublikuj wszystkie , aby opublikować rolę.

Krok 3. Tworzenie użytkownika na potrzeby zbierania danych w obszarze Finanse i operacje

  1. W portalu Finanse i operacje przejdź do obszaru Administracja systemem modułów > i kliknij pozycję Użytkownicy
  2. Utwórz nowego użytkownika i przypisz użytkownikowi rolę utworzoną w poprzednim kroku.

Krok 4. Rejestrowanie aplikacji Microsoft Entra w obszarze Finanse i operacje

  1. W portalu F&O przejdź do obszaru Konfiguracja > administracyjna > systemu Microsoft Entra aplikacje (Azure aplikacje usługi Active Directory)
  2. Utwórz nowy wpis w tabeli. W polu Identyfikator klienta wprowadź identyfikator aplikacji zarejestrowanej w kroku 1.
  3. W polu Nazwa wprowadź nazwę aplikacji.
  4. W polu Identyfikator użytkownika wybierz identyfikator użytkownika utworzony w poprzednim kroku.

Łączenie zdarzeń z Dyanmics 365 Finance and Operations z Microsoft Sentinel

Nawiązywanie połączenia przy użyciu poświadczeń klienta

Organizacji

Każdy wiersz reprezentuje połączenie Finanse i operacje

  • Siatka łączników danych (konfigurowana w portalu)



Dynamics365

Obsługiwane przez:Microsoft Corporation

Łącznik działań usługi Dynamics 365 Common Data Service (CDS) zapewnia wgląd w działania administratora, użytkownika i pomocy technicznej, a także zdarzenia rejestrowania usługi Microsoft Social Engagement. Łącząc Dynamics 365 dzienniki CRM z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia niestandardowych alertów i ulepszać proces badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Dynamics365Activity Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Ataki Dynatrace V1

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST Dynatrace Attacks do pozyskiwania wykrytych ataków w usłudze Microsoft Sentinel Log Analytics

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceAttacks_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace z włączoną usługą Application Security , dowiedz się więcej o platformie Dynatrace.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres ataków odczytu (attacks.read).

Instrukcje dotyczące konfiguracji:

Zdarzenia ataku Dynatrace do Microsoft Sentinel

Konfigurowanie i włączanie zabezpieczeń aplikacji Dynatrace. Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.



Ataki Dynatrace V2

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST Dynatrace Attacks do pozyskiwania wykrytych ataków w usłudze Microsoft Sentinel Log Analytics

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceAttacksV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace z włączoną usługą Application Security , dowiedz się więcej o platformie Dynatrace.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres ataków odczytu (attacks.read).

Instrukcje dotyczące konfiguracji:

Zdarzenia ataku Dynatrace do Microsoft Sentinel

Konfigurowanie i włączanie zabezpieczeń aplikacji Dynatrace. Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Token dostępu Dynatrace: ({{dynatraceAccessToken}})
  • Włączanie/wyłączanie połączenia



Dzienniki inspekcji Dynatrace V1

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST dzienników inspekcji Dynatrace do pozyskiwania dzienników inspekcji dzierżawy do Microsoft Sentinel Log Analytics

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceAuditLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace, aby dowiedzieć się więcej o platformie Dynatrace Rozpocznij bezpłatną wersję próbną.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres dzienników inspekcji odczytu (auditLogs.read).

Instrukcje dotyczące konfiguracji:

Dynatrace Audit Log Events to Microsoft Sentinel

Włącz rejestrowanie inspekcji Dynatrace. Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.



Dzienniki inspekcji Dynatrace v2

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST dzienników inspekcji Dynatrace do pozyskiwania dzienników inspekcji dzierżawy do Microsoft Sentinel Log Analytics

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceAuditLogsV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace, aby dowiedzieć się więcej o platformie Dynatrace Rozpocznij bezpłatną wersję próbną.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres dzienników inspekcji odczytu (auditLogs.read).

Instrukcje dotyczące konfiguracji:

Dynatrace Audit Log Events to Microsoft Sentinel

Włącz rejestrowanie inspekcji Dynatrace. Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Token dostępu Dynatrace: ({{dynatraceAccessToken}})
  • Włączanie/wyłączanie połączenia



Problemy z Dynatrace v1

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST problemu Dynatrace do pozyskiwania zdarzeń problemów do Microsoft Sentinel Log Analytics

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceProblems_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace, aby dowiedzieć się więcej o platformie Dynatrace Rozpocznij bezpłatną wersję próbną.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres problemów z odczytem (problemy.odczyt).

Instrukcje dotyczące konfiguracji:

Zdarzenia problemu Dynatrace do Microsoft Sentinel

Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.



Problemy z Dynatrace v2

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST problemu Dynatrace do pozyskiwania zdarzeń problemów do Microsoft Sentinel Log Analytics

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceProblemsV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace, aby dowiedzieć się więcej o platformie Dynatrace Rozpocznij bezpłatną wersję próbną.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres problemów z odczytem (problemy.odczyt).

Instrukcje dotyczące konfiguracji:

Zdarzenia problemu Dynatrace do Microsoft Sentinel

Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Token dostępu Dynatrace: ({{dynatraceAccessToken}})
  • Włączanie/wyłączanie połączenia



Luki w zabezpieczeniach środowiska uruchomieniowego Dynatrace V1

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST problemu z zabezpieczeniami Dynatrace do pozyskiwania wykrytych luk w zabezpieczeniach środowiska uruchomieniowego w usłudze Microsoft Sentinel Log Analytics.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceSecurityProblems_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace z włączoną usługą Application Security , dowiedz się więcej o platformie Dynatrace.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres problemów z zabezpieczeniami odczytu (securityProblems.read).

Instrukcje dotyczące konfiguracji:

Zdarzenia luk w zabezpieczeniach Dynatrace do Microsoft Sentinel

Konfigurowanie i włączanie zabezpieczeń aplikacji Dynatrace. Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.



Luki w zabezpieczeniach środowiska uruchomieniowego Dynatrace V2

Obsługiwane przez:Dynatrace

Ten łącznik używa interfejsu API REST problemu z zabezpieczeniami Dynatrace do pozyskiwania wykrytych luk w zabezpieczeniach środowiska uruchomieniowego w usłudze Microsoft Sentinel Log Analytics.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DynatraceSecurityProblemsV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace z włączoną usługą Application Security , dowiedz się więcej o platformie Dynatrace.
  • Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres problemów z zabezpieczeniami odczytu (securityProblems.read).

Instrukcje dotyczące konfiguracji:

Zdarzenia luk w zabezpieczeniach Dynatrace do Microsoft Sentinel

Konfigurowanie i włączanie zabezpieczeń aplikacji Dynatrace. Postępuj zgodnie z tymi instrukcjami, aby wygenerować token dostępu.

  • Dzierżawa Dynatrace (np. xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Token dostępu Dynatrace: ({{dynatraceAccessToken}})
  • Włączanie/wyłączanie połączenia



Agent elastyczny

Obsługiwane przez:Microsoft Corporation

Łącznik danych agenta elastycznego umożliwia pozyskiwanie dzienników, metryk i danych zabezpieczeń agenta elastycznego do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ElasticAgentEvent Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uwzględnij niestandardowe wymagania wstępne, jeśli wymagana jest łączność — w przeciwnym razie usuń zwyczaje: Opis wszelkich niestandardowych wymagań wstępnych

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami elasticagentEvent, która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

UWAGA: Ten łącznik danych został opracowany przy użyciu programu Elastic Agent 7.14.

1. Instalowanie i dołączanie agenta dla Linux lub Windows

Zainstaluj agenta na serwerze, na którym są przekazywane dzienniki agenta elastycznego.

Dzienniki z agentów elastycznych wdrożonych na serwerach Linux lub Windows są zbierane przez agentów Linux lub Windows.

Wybierz miejsce instalacji agenta Linux:

Instalowanie agenta na maszynie wirtualnej Azure Linux

Wybierz maszynę do zainstalowania agenta, a następnie kliknij przycisk Połącz.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Instalowanie agenta na maszynie innej niż Azure Linux

Pobierz agenta na odpowiednią maszynę i postępuj zgodnie z instrukcjami.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Wybierz miejsce instalacji agenta systemu Windows:

Instalowanie agenta na maszynie wirtualnej z systemem Windows Azure

Wybierz maszynę do zainstalowania agenta, a następnie kliknij przycisk Połącz.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Instalowanie agenta na maszynie z systemem Windows innym niż Azure

Pobierz agenta na odpowiednią maszynę i postępuj zgodnie z instrukcjami.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

2. Konfigurowanie agenta elastycznego (autonomicznego)

Postępuj zgodnie z instrukcjami, aby skonfigurować agenta elastycznego w celu wyprowadzania danych wyjściowych do usługi Logstash

3. Konfigurowanie usługi Logstash do korzystania z wtyczki danych wyjściowych usługi Microsoft Logstash

Wykonaj kroki konfigurowania usługi Logstash, aby używać wtyczki microsoft-logstash-output-azure-loganalytics:

3.1) Sprawdź, czy wtyczka jest już zainstalowana: ./logstash-plugin list | grep "azure-loganalytics" (jeśli wtyczka jest zainstalowana, przejdź do kroku 3.3)

3.2) Instalowanie wtyczki: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) Konfigurowanie usługi Logstash do korzystania z wtyczki

4. Weryfikowanie pozyskiwania dzienników

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu tabeli niestandardowej określonej w kroku 3.3 (np. ElasticAgentLogs_CL).

Przesyłanie strumieniowe danych do obszaru roboczego może potrwać około 30 minut.



Agent elastyczny (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych agenta elastycznego umożliwia pozyskiwanie metryk systemowych, dzienników i danych telemetrycznych zebranych przez agenta elastycznego z narzędzia Elasticsearch do Microsoft Sentinel. Ten łącznik używa interfejsu API wyszukiwania Elasticsearch z uwierzytelnianiem klucza interfejsu API do wykonywania zapytań o wiele strumieni danych (procesor CPU, pamięć, proces, system plików, sieć, ładowanie, czas pracy, metryki agenta i dzienniki). Obsługuje ona przekształcenia czasu pozyskiwania oparte na usłudze DCR w celu wydajnego wykonywania zapytań. Aby uzyskać więcej informacji, zobacz dokumentację interfejsu API: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ElasticAgentLogsV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

1. Wymagania wstępne

Upewnij się, że masz wymagany dostęp i konfigurację.

Wymagania wstępne

  • Wdrożenie elasticsearch (samodzielne zarządzanie lub chmura elastyczna)
  • Agent elastyczny wdrożony z włączoną integracją systemu
  • Monitorowanie agenta włączone dla dzienników i metryk
  • Klucz interfejsu API elasticsearch z uprawnieniami do odczytu dla wszystkich indeksów
  • Łączność sieciowa z Microsoft Sentinel do punktu końcowego elasticsearch

Wymagane indeksy

Łącznik wykonuje zapytania dotyczące następujących indeksów Elasticsearch:

Metryki:

  • metrics-system.cpu-* — Metryki procesora CPU
  • metrics-system.memory-* — Metryki pamięci
  • metrics-system.process-* — Metryki procesów
  • metrics-system.filesystem-* — Metryki systemu plików
  • metrics-system.network-* — Metryki sieci
  • metrics-system.load-*— Obciążenie systemu (tylko Linux)
  • metrics-system.uptime-* — Czas pracy systemu
  • metrics-elastic_agent.* - Dane telemetryczne agenta

Dzienniki:

  • logs-elastic_agent-* — Dzienniki agentów

2. Konfigurowanie połączeń elasticsearch

Dodaj co najmniej jedno połączenie Elasticsearch, z których będą zbierane dane.

Połączenia elasticsearch

Możesz dodać wiele połączeń w celu zbierania danych z różnych wdrożeń elasticsearch. Każde połączenie wymaga własnego adresu URL elasticsearch i klucza interfejsu API.

Tworzenie klucza interfejsu API

  1. W usłudze Kibana przejdź do pozycji Stack Management API Keys (Klucze interfejsu API zarządzania stosem>)
  2. Kliknij pozycję Utwórz klucz interfejsu API
  3. Ustaw nazwę i skonfiguruj uprawnienia:
    • Dostęp do odczytu do metrics-system.*
    • Dostęp do odczytu do metrics-elastic_agent.*
    • Dostęp do odczytu do logs-elastic_agent-*
  4. Kopiowanie wartości klucza interfejsu API zakodowanej w formacie Base64
  • Siatka łączników danych (konfigurowana w portalu)



Zdarzenia zabezpieczeń przeglądarki Ermes

Obsługiwane przez:Ermes Cyber Security S.p.A.

Zdarzenia zabezpieczeń przeglądarki Ermes

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ErmesBrowserSecurityEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Identyfikator klienta Ermes i klucz tajny klienta: włącz dostęp do interfejsu API w programie Ermes. Aby uzyskać więcej informacji, skontaktuj się z pomocą techniczną Ermes Cyber Security .

Instrukcje dotyczące konfiguracji:

Łączenie z Microsoft Sentinel zdarzeń zabezpieczeń przeglądarki Ermes

Nawiązywanie połączenia przy użyciu poświadczeń OAuth2



ESET Protect Platform (przy użyciu Azure Functions)

Obsługiwane przez:ESET Enterprise Integrations

Łącznik danych ESET Protect Platform umożliwia użytkownikom wstrzykiwanie danych wykrywania z platformy ESET Protect Przy użyciu dostarczonego interfejsu API REST integracji. Interfejs API REST integracji jest uruchamiany zgodnie z harmonogramem Azure aplikacji funkcji.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
IntegrationTable_CL Tak Tak
IntegrationTableIncidents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Uprawnienie do rejestrowania aplikacji w Microsoft Entra ID: wymagane są wystarczające uprawnienia do rejestrowania aplikacji w dzierżawie Microsoft Entra.
  • Uprawnienie do przypisania roli do zarejestrowanej aplikacji: wymagane jest uprawnienie do przypisania roli Wydawca metryk monitorowania do zarejestrowanej aplikacji w Microsoft Entra ID.

Instrukcje dotyczące konfiguracji:

UWAGA: Łącznik danych ESET Protect Platform używa Azure Functions do nawiązywania połączenia z platformą ESET Protect Platform za pośrednictwem interfejsu API Eset Connect w celu wykrywania ściągnięcia dzienników do Microsoft Sentinel. Ten proces może spowodować dodatkowe koszty pozyskiwania danych. Zobacz szczegóły na stronie cennika Azure Functions.

UWAGA: Najnowsza wersja platformy ESET PROTECT i integracji Microsoft Sentinel ściąga nie tylko dzienniki wykrywania, ale także nowo utworzone zdarzenia. Jeśli integracja została skonfigurowana przed 20.06.2025, wykonaj następujące kroki , aby ją zaktualizować.

Krok 1. Tworzenie użytkownika interfejsu API

Użyj tej instrukcji , aby utworzyć konto użytkownika interfejsu API programu ESET Connect z identyfikatorem logowania i hasłem.

Krok 2. Tworzenie zarejestrowanej aplikacji

Utwórz Microsoft Entra ID zarejestrowaną aplikację, wykonując kroki opisane w instrukcji Rejestrowanie nowej aplikacji.

Krok 3. Wdrażanie łącznika danych platformy ESET Protect Platform przy użyciu szablonu Azure Resource Manager (ARM)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz nazwę obszaru roboczego usługi Log Analytics skojarzonego z Microsoft Sentinel. Wybierz tę samą grupę zasobów co grupa zasobów obszaru roboczego usługi Log Analytics.

  3. Wpisz parametry zarejestrowanej aplikacji w Microsoft Entra ID: identyfikator klienta Azure, Azure klucz tajny klienta, identyfikator dzierżawy Azure, identyfikator obiektu. Identyfikator obiektu można znaleźć w portalu Azure, korzystając z tej ścieżki Microsoft Entra ID —> Zarządzanie (w menu po lewej stronie) —> Aplikacje dla przedsiębiorstw —> kolumna Identyfikator obiektu (wartość obok zarejestrowanej nazwy aplikacji).

  4. Podaj identyfikator logowania i hasło konta użytkownika interfejsu API programu ESET Connect uzyskany w kroku 1.

  5. Wybierz co najmniej jeden produkt ESET (ESET PROTECT, ESET Inspect, ESET Cloud Office Security), z którego są pobierane wykrycia.



Lokalny moduł zbierający usługi Exchange Security Insights

Obsługiwane przez:Community

Łącznik używany do wypychania konfiguracji zabezpieczeń lokalnych programu Exchange na potrzeby analizy Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ESIExchangeConfig_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Konto usługi z rolą zarządzania organizacją: konto usługi, które uruchamia skrypt zgodnie z harmonogramem, musi mieć funkcję Zarządzanie organizacją, aby móc pobrać wszystkie potrzebne informacje o zabezpieczeniach.
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

1. Zainstaluj skrypt modułu zbierającego ESI na serwerze przy użyciu konsoli programu Exchange Administracja Programu PowerShell

Jest to skrypt, który będzie zbierać informacje o programie Exchange w celu wypychania zawartości w Microsoft Sentinel.

Wdrażanie skryptu

Pobierz najnowszą wersję modułu zbierającego ESI

Najnowszą wersję można znaleźć tutaj: https://aka.ms/ESI-ExchangeCollector-Script. Plik do pobrania jest CollectExchSecIns.zip

Kopiowanie folderu skryptu

Rozpakuj zawartość i skopiuj folder skryptu na serwerze, na którym znajdują się polecenia cmdlet programu Exchange PowerShell.

Odblokuj skrypty PS1

Kliknij prawym przyciskiem myszy każdy skrypt PS1 i przejdź do karty Właściwości. Jeśli skrypt jest oznaczony jako zablokowany, odblokuj go. Możesz również użyć polecenia cmdlet "Odblokuj plik . w rozpakowanym folderze przy użyciu programu PowerShell.

**Konfigurowanie dostępu do sieci **

Upewnij się, że skrypt może skontaktować się z Azure Analytics (*.ods.opinsights.azure.com).

2. Konfigurowanie skryptu modułu zbierającego ESI

Pamiętaj, aby być administratorem lokalnym serwera. W trybie "Uruchom jako administrator" uruchom skrypt "setup.ps1", aby skonfigurować moduł zbierający. Wypełnij informacje o obszarze roboczym usługi Log Analytics (Microsoft Sentinel). Wypełnij nazwę środowiska lub pozostaw puste. Domyślnie wybierz opcję "Def" jako analizę domyślną. Inne opcje dotyczą określonego użycia.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

3. Zaplanuj skrypt modułu zbierającego ESI (jeśli nie zostanie on wykonany przez skrypt instalacji z powodu braku uprawnień lub zignorowanego podczas instalacji)

Skrypt musi zostać zaplanowany w celu wysłania konfiguracji programu Exchange do Microsoft Sentinel. Zalecamy zaplanowanie skryptu raz dziennie. Konto używane do uruchamiania skryptu musi być członkiem grupy Zarządzanie organizacją

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Analizatory są automatycznie wdrażane za pomocą rozwiązania. Wykonaj kroki, aby utworzyć alias usługi Kusto Functions: ExchangeAdminAuditLogs

Analizatory są wdrażane automatycznie podczas wdrażania rozwiązania. Jeśli chcesz wdrożyć ręcznie, wykonaj poniższe kroki

Ręczne wdrażanie analizatora

1. Pobierz plik analizatora

Najnowsza wersja pliku ExchangeAdminAuditLogs

2. Tworzenie funkcji Parser ExchangeAdminAuditLogs

W eksploratorze dzienników analizy dzienników Microsoft Sentinel skopiuj zawartość pliku do Eksploratora dzienników

3. Zapisz funkcję Parser ExchangeAdminAuditLogs

Kliknij przycisk Zapisz. Dla tego analizatora nie jest wymagany żaden parametr. Kliknij ponownie pozycję Zapisz.



Moduł zbierający usługi Exchange Security Insights Online (przy użyciu Azure Functions)

Obsługiwane przez:Community

Łącznik używany do wypychania konfiguracji zabezpieczeń Exchange Online na potrzeby analizy Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ESIExchangeOnlineConfig_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • microsoft.automation/automationaccounts uprawnienia: uprawnienia do odczytu i zapisu w celu utworzenia Azure Automation za pomocą elementu Runbook jest wymagane. Aby uzyskać więcej informacji, zobacz Konto usługi Automation.
  • Uprawnienia programu Microsoft.Graph: uprawnienia Groups.Read, Users.Read i Auditing.Read są wymagane do pobrania informacji o użytkownikach/grupach połączonych z przypisaniami Exchange Online. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
  • uprawnienia Exchange Online: Uprawnienia programu Exchange.ManageAsApp oraz rola czytelnika globalnego lub czytelnika zabezpieczeń są potrzebne do pobrania Exchange Online Konfiguracja zabezpieczeń.Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
  • (Opcjonalnie) Uprawnienia usługi Log Storage: Współautor danych obiektu blob magazynu na koncie magazynu połączonym z tożsamością zarządzaną konta usługi Automation lub identyfikatorem aplikacji jest wymagany do przechowywania dzienników. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.

Instrukcje dotyczące konfiguracji:

UWAGA — AKTUALIZACJA

Uwaga:

UWAGA — AKTUALIZACJA:

Zalecamy zaktualizowanie modułu zbierającego do wersji 7.6.0.0 lub nowszej. Procedurę aktualizacji skryptu modułu zbierającego można znaleźć tutaj: Aktualizacja modułu zbierającego online ESI

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Wykonaj kroki dla każdego analizatora, aby utworzyć alias funkcji Kusto: ExchangeConfiguration i **ExchangeEnvironmentList KROK 1 — wdrożenie analizatorów**

Wdrożenie analizatora (w przypadku korzystania z rozwiązania Microsoft Exchange Security Solution analizatory są wdrażane automatycznie)

1. Pobierz pliki analizatora

Najnowsza wersja 2 plików ExchangeConfiguration.yaml i ExchangeEnvironmentList.yaml

2. Tworzenie funkcji Parser ExchangeConfiguration

W eksploratorze dzienników analizy dzienników Microsoft Sentinel skopiuj zawartość pliku do Eksploratora dzienników

3. Zapisz funkcję Parser ExchangeConfiguration

Kliknij przycisk Zapisz. Zdefiniuj parametry zgodnie z pytaniem w nagłówku pliku analizatora. Kliknij ponownie pozycję Zapisz.

4. Odtwórz te same kroki dla parser ExchangeEnvironmentList

Odtwórz kroki 2 i 3 z zawartością pliku "ExchangeEnvironmentList.yaml"

UWAGA: Ten łącznik używa Azure Automation, aby nawiązać połączenie z "Exchange Online", aby ściągnąć analizę zabezpieczeń do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Automation.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzone Azure Automation

WAŻNE: Przed wdrożeniem łącznika "Konfiguracja zabezpieczeń Exchange Online ESI" mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także nazwę dzierżawy Exchange Online (contoso.onmicrosoft.com), która jest łatwo dostępna.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika "ESI Exchange Online Security Configuration".

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę dzierżawy, "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Poniższe instrukcje krok po kroku umożliwiają ręczne wdrożenie łącznika "Konfiguracja zabezpieczeń ESI Exchange Online" przy użyciu Azure Automation.

Odp. Tworzenie konta Azure Automation

  1. W portalu Azure przejdź do pozycji konto Azure Automation.
  2. Kliknij pozycję + Dodaj u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę Azure Automation.
  4. Na kartach Zaawansowane i sieciowe i tagi pozostaw pola jako domyślne, jeśli nie musisz ich dostosowywać.
  5. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Dodawanie modułu zarządzania Exchange Online, modułów programu Microsoft Graph (uwierzytelnianie, użytkowników i grup)

  1. Na stronie Konto usługi Automation wybierz pozycję Moduły.
  2. Kliknij pozycję Przeglądaj galerię i wyszukaj moduł ExchangeOnlineManagement .
  3. Wybierz go i kliknij pozycję Wybierz.
  4. Wybierz wersję 5.1 w polu Wersja środowiska uruchomieniowego i kliknij przycisk Importuj. Powtórz krok dla następujących modułów: "Microsoft.Graph.Authentication", "Microsoft.Graph.Users" i "Microsoft.Graph.Groups. Uwaga: przed przetworzeniem kolejnych modułów należy poczekać na instalację microsoft.Graph.Authentication

C. Pobieranie zawartości elementu Runbook

  1. Pobierz najnowszą wersję modułu zbierającego ESI. Najnowszą wersję można znaleźć tutaj: https://aka.ms/ESI-ExchangeCollector-Script
  2. Rozpakuj plik, aby znaleźć plik JSON i plik PS1 do następnego kroku.

D. Tworzenie elementu Runbook

  1. Na stronie Konto usługi Automation wybierz przycisk Elementy runbook .
  2. Kliknij pozycję Utwórz element Runbook i nadaj mu nazwę "ESI-Collector" za pomocą elementu runbook typu PowerShell, Środowisko uruchomieniowe w wersji 5.1 i kliknij pozycję "Utwórz".
  3. Zaimportuj zawartość pliku PS1 poprzedniego kroku w oknie elementu Runbook.
  4. Kliknij pozycję Publikuj

E. Tworzenie zmiennej GlobalConfiguration

  1. Na stronie Konto usługi Automation wybierz przycisk Zmienne .
  2. Kliknij pozycję Dodaj zmienną i nadaj jej nazwę "GlobalConfiguration" za pomocą typu Ciąg.
  3. W polu "Wartość" skopiuj zawartość pliku JSON poprzedniego kroku.
  4. Wewnątrz zawartości zastąp wartości WorkspaceID i WorkspaceKey.
  5. Kliknij przycisk "Utwórz".

F. Tworzenie zmiennej TenantName

  1. Na stronie Konto usługi Automation wybierz przycisk Zmienne .
  2. Kliknij pozycję Dodaj zmienną i nadaj jej nazwę "TenantName" typem String.
  3. W polu "Wartość" wpisz nazwę dzierżawy Exchange Online.
  4. Kliknij przycisk "Utwórz".

G. Tworzenie zmiennej LastDateTracking

  1. Na stronie Konto usługi Automation wybierz przycisk Zmienne .
  2. Kliknij pozycję Dodaj zmienną i nadaj jej nazwę "LastDateTracking" z typem String.
  3. W polu "Value" wpisz "Nigdy".
  4. Kliknij przycisk "Utwórz".

H. Tworzenie harmonogramu elementu Runbook

  1. Na stronie Konto usługi Automation wybierz przycisk Element Runbook i kliknij utworzony element Runbook.
  2. Kliknij pozycję Harmonogramy i przycisk Dodaj harmonogram .
  3. Kliknij pozycję Harmonogram, Dodaj harmonogram i nadaj mu nazwę. Wybierz pozycję Wartość cykliczna z cyklicznością co 1 dzień, a następnie kliknij pozycję "Utwórz".
  4. Kliknij pozycję "Konfiguruj parametry i uruchom ustawienia". Pozostaw wszystkie puste i kliknij przycisk OK i OK ponownie.

KROK 3 — Przypisywanie uprawnień programu Microsoft Graph i uprawnienia Exchange Online do konta tożsamości zarządzanej

Aby móc zbierać Exchange Online informacje i móc pobierać informacje o użytkowniku i listę członków grup administratorów, konto automatyzacji musi mieć wiele uprawnień.

Przypisywanie uprawnień według skryptu

Odp. Pobierz skrypt uprawnień

Skrypt aktualizacji uprawnień

B. Pobierz identyfikator GUID tożsamości zarządzanej Azure Automation i wstaw go do pobranego skryptu

  1. Przejdź do konta usługi Automation w sekcji Tożsamość . Możesz znaleźć identyfikator GUID tożsamości zarządzanej.
  2. Zastąp identyfikator GUID w $MI_ID = "XXXXXXXXXXX" identyfikatorem GUID tożsamości zarządzanej.

C. Uruchamianie skryptu przy użyciu konta administratora globalnego

Uwaga ten skrypt wymaga modułów MSGraph i Administracja zgody na dostęp do dzierżawy za pomocą programu Microsoft Graph. Skrypt doda 3 uprawnienia do tożsamości zarządzanej: 1. Exchange Online uprawnienia ManageAsApp 2. User.Read.All w witrynie Microsoft interfejs interfejs Graph API 3. Group.Read.All w usłudze Microsoft interfejs interfejs Graph API

D. przypisanie roli Exchange Online

  1. Jako administrator globalny przejdź do pozycji Role i administratorzy.
  2. Wybierz pozycję Rola czytelnika globalnego lub Czytelnik zabezpieczeń i kliknij pozycję "Dodaj przypisania".
  3. Kliknij pozycję "Nie wybrano żadnego członka" i wyszukaj nazwę konta tożsamości zarządzanej, zaczynając od nazwy konta automatyzacji, takiego jak "ESI-Collector". Wybierz ją i kliknij pozycję "Wybierz".
  4. Kliknij przycisk Dalej i zweryfikuj przypisanie, klikając pozycję Przypisz.



Łącznik danych wykrywania dodatku ExtraHop

Obsługiwane przez:ExtraHop Support

Łącznik danych wykrywania extrahop umożliwia importowanie danych wykrywania z funkcji ExtraHop RevealX w celu Microsoft Sentinel za pośrednictwem ładunków elementów webhook. Dane są pozyskiwane przy użyciu interfejsu API Azure Monitor Log Ingestion za pośrednictwem reguły zbierania danych (DCR).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ExtraHop_Detections_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID, utworzenia punktu końcowego zbierania danych, reguły zbierania danych i przypisania wymaganych ról.
  • Microsoft Entra rejestracja aplikacji: wymagana jest rejestracja aplikacji Microsoft Entra ID (jednostka usługi) z wpisem tajnym klienta. Należy podać identyfikator obiektu aplikacji, aby wdrożenie było w stanie przypisać mu rolę niezbędną do publikowania dzienników za pośrednictwem interfejsu API pozyskiwania dzienników.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Uprawnienia ExtraHop RevealX: W systemie ExtraHop RevealX są wymagane następujące uprawnienia:
  1. W systemie RevealX musi być uruchomione oprogramowanie układowe w wersji 9.9.2 lub nowszej.
  2. System RevealX musi być połączony z Cloud Services ExtraHop.
  3. Konto użytkownika musi mieć uprawnienia administracji systemu na uprawnieniach RevealX 360 lub Full Write w usłudze RevealX Enterprise.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do odbierania ładunków elementu webhook extraHop i pozyskiwania ich do Microsoft Sentinel przy użyciu interfejsu API pozyskiwania dzienników monitora Azure (pozyskiwanie oparte na modelu DCR). Spowoduje to zastąpienie starszego interfejsu API modułu zbierającego dane HTTP usługi Log Analytics. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie poświadczeń interfejsu API w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Log Analytics/Microsoft Sentinel Logs, kliknij pozycję Funkcje i wyszukaj alias ExtraHopDetections i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po instalacji/aktualizacji rozwiązania.

Konfiguracji:

KROK 1 . Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji (np. ExtraHopSentinelConnector).
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych ExtraHop.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 2 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych ExtraHop. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych ExtraHop.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectID wymagany do przypisania roli szablonu usługi ARM.

KROK 4 — Wdrażanie łącznika danych ExtraHop

WAŻNE: Przed wdrożeniem łącznika danych ExtraHop mają łatwo dostępne szczegóły rejestracji aplikacji Microsoft Entra ID (identyfikator klienta, klucz tajny klienta, identyfikator dzierżawy i identyfikator obiektu).

Wdróż łącznik danych wykrywania funkcji ExtraHop:

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych wykrywania extrahop.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź poniższe informacje:

    a. FunctionName — wprowadź nazwę aplikacji funkcji (używaną do nadawania nazw wszystkim powiązanym zasobom). Musi zawierać od 1 do 11 znaków. Domyślny: ExtraHop

    b. Lokalizacja — lokalizacja, w której powinny zostać wdrożone reguły zbierania danych i punkty końcowe zbierania danych

    c. WorkspaceName — wprowadź Microsoft Sentinel nazwę obszaru roboczego usługi Log Analytics

    d. AzureClientId — wprowadź identyfikator klienta Azure utworzony podczas rejestracji aplikacji

    e. AzureClientSecret — wprowadź Azure klucz tajny klienta utworzony podczas tworzenia wpisu tajnego klienta

    f. AzureEntraObjectID — wprowadź identyfikator obiektu aplikacji Microsoft Entra

    G. TenantId — wprowadź identyfikator dzierżawy Microsoft Entra ID

    H. DetectionsTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników wykrywania extrahop. Wartość domyślna to "ExtraHop_Detections"

    i. LogLevel — wybierz wartość poziomu dziennika lub ważności dziennika z pozycji Debugowanie, Informacje, Błąd, Ostrzeżenie. Domyślnie jest ustawiona wartość Info

    J. AppInsightsWorkspaceResourceID — migrowanie klasycznej usługi Application Insights do obszaru roboczego usługi Log Analytic, który zostanie wycofany do 29 roku febraury 2024. Użyj bloku "Obszar roboczy analityczny dziennika —> właściwości" z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

KROK 5 — po wdrożeniu

Po pomyślnym wdrożeniu skonfiguruj połączenie elementu webhook z usługi ExtraHop RevealX do Microsoft Sentinel.

1) Pobieranie punktu końcowego aplikacji funkcji

  1. Przejdź do strony przeglądu funkcji Azure i kliknij kartę Funkcje.
  2. Kliknij funkcję o nazwie ExtraHopHttpStarter.
  3. Przejdź do pozycji Pobierz adres URL funkcji i skopiuj adres URL funkcji dostępny w obszarze domyślnym (klucz funkcji).
  4. Zastąp ciąg {functionname} elementem ExtraHopDetectionsOrchestrator w adresie URL skopiowanej funkcji.

2) Konfigurowanie połączenia w celu Microsoft Sentinel i określanie kryteriów ładunku elementu webhook z usługi RevealX

W systemie ExtraHop skonfiguruj integrację Microsoft Sentinel, aby ustanowić połączenie między Microsoft Sentinel i EkstraHop RevealX oraz utworzyć reguły powiadomień wykrywania, które będą wysyłać dane elementu webhook do Microsoft Sentinel. Aby uzyskać szczegółowe instrukcje, zobacz Integrowanie funkcji ExtraHop RevealX z rozwiązaniem Microsoft Sentinel SIEM.

Po skonfigurowaniu reguł powiadomień i Microsoft Sentinel odbiera dane elementu webhook, aplikacja funkcji jest wyzwalana i można wyświetlić wykrywanie elementu ExtraHop z tabeli niestandardowej obszaru roboczego usługi Log Analytics. Użyj funkcji analizatora ExtraHopDetections , aby uzyskać znormalizowany widok danych.



F5 BIG-IP

Obsługiwane przez:F5 Networks

Łącznik zapory F5 umożliwia łatwe łączenie dzienników F5 z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
F5Telemetry_LTM_CL Nie Nie
F5Telemetry_system_CL Tak Tak
F5Telemetry_ASM_CL Nie Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Konfigurowanie i łączenie Z F5 BIGIP

Aby połączyć aplikację F5 BIGIP, musisz opublikować deklarację JSON w punkcie końcowym interfejsu API systemu. Aby uzyskać instrukcje dotyczące tego, jak to zrobić, zobacz Integrating the F5 BGIP with Microsoft Sentinel (Integrowanie protokołu F5 BGIP z Microsoft Sentinel).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Feedly IoC

Obsługiwane przez:Feedly Inc

Łącznik danych usługi Feedly IoC zapewnia możliwość pozyskiwania wskaźników kompromisu (IoCs) z interfejsu API usługi Feedly do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
feedly_indicators_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp do interfejsu API informacyjnego: wymagany jest dostęp do interfejsu API usługi Feedly. Potrzebny jest token interfejsu API usługi Feedly z dostępem do strumieni IoC, które chcesz pozyskiwać. Wygeneruj token interfejsu API pod adresem https://feedly.com/i/team/api

Instrukcje dotyczące konfiguracji:

Połącz się z usługą Feedly, aby rozpocząć zbieranie IoCs w Microsoft Sentinel

  1. Przejdź do obszaru https://feedly.com/i/team/api i wygeneruj nowy token interfejsu API dla łącznika.
  2. W Sentinel na stronie łącznika podaj klucz interfejsu API usługi Feedly i identyfikatory Stream. Następnie kliknij pozycję "Połącz".
  • Klucz interfejsu API źródła danych: (wprowadź token interfejsu API usługi Feedly)
  • Identyfikatory Stream kanału informacyjnego: (streamId1, streamId2, streamId3)
  • Włączanie/wyłączanie połączenia



Łącznik wypychania flary

Obsługiwane przez:Flare

Łącznik Flare zapewnia możliwość pozyskiwania danych analizy zagrożeń i ekspozycji z flare do Microsoft Sentinel. Flare identyfikuje zasoby cyfrowe twojej firmy udostępnione publicznie z powodu błędów ludzkich lub złośliwych ataków, w tym wyciekły poświadczenia, uwidocznione zasobniki chmury, wzmianki darkweb i inne.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
FireworkV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR).
  • Flara: uprawnienie do konfigurowania integracji Microsoft Sentinel w programie Flare.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik umożliwia aplikacji Flare wysyłanie danych narażenia na zagrożenia do Microsoft Sentinel. Po włączeniu przekazywania danych w programie Flare nieprzetworzone dane zdarzeń są bezpiecznie wysyłane do interfejsu API pozyskiwania danych Microsoft Sentinel.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra Kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Skonfiguruj flarę, aby wysyłać dzienniki do Microsoft Sentinel

Użyj następujących parametrów, aby skonfigurować program Flare do wysyłania dzienników do obszaru roboczego.

  • identyfikator aplikacji Entra (klienta):< wartość zmiennej podana w czasie instalacji>
  • identyfikator katalogu Entra (dzierżawa):< wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Adres URL pozyskiwania dzienników: <wartość zmiennej podana w czasie instalacji>

3. Konfigurowanie kanału alertów w flarie

Jako administrator organizacji możesz skonfigurować kanał alertów w aplikacji Flare w celu wysyłania danych do Sentinel.

  1. Uwierzytelnianie na flarie
  2. Uzyskaj dostęp do strony alertów , aby utworzyć nowy kanał alertów.
  3. Wybierz pozycję "Microsoft Sentinel" i skopiuj powyższe pola w formularzu.

Aby uzyskać więcej informacji, zapoznaj się z dokumentacją flare.



Forcepoint DLP

Obsługiwane przez:Community

Łącznik Forcepoint DLP (Data Loss Prevention) umożliwia automatyczne eksportowanie danych zdarzeń DLP programu Forcepoint do Microsoft Sentinel w czasie rzeczywistym. Wzbogaci to wgląd w działania użytkowników i zdarzenia utraty danych, umożliwia dalszą korelację z danymi z obciążeń Azure i innych źródeł danych oraz poprawia możliwości monitorowania za pomocą skoroszytów wewnątrz Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ForcepointDLPEvents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Postępuj zgodnie z instrukcjami krok po kroku w dokumentacji programu Forcepoint DLP dla Microsoft Sentinel, aby skonfigurować ten łącznik.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Forescout

Obsługiwane przez:Microsoft Corporation

Łącznik danych Forescout zapewnia możliwość pozyskiwania zdarzeń Forescout do Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją forescout .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ForescoutEvent Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami forescoutEvent, która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

UWAGA: Ten łącznik danych został opracowany przy użyciu wtyczki Forescout Syslog w wersji 3.6

1. Instalowanie i dołączanie agenta dla Linux lub Windows

Zainstaluj agenta na serwerze, na którym są przekazywane dzienniki forescout.

Dzienniki z serwera Forescout wdrożone na serwerach Linux lub Windows są zbierane przez agentów Linux lub Windows.

Wybierz miejsce instalacji agenta Linux:

Instalowanie agenta na maszynie wirtualnej Azure Linux

Wybierz maszynę do zainstalowania agenta, a następnie kliknij przycisk Połącz.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Instalowanie agenta na maszynie innej niż Azure Linux

Pobierz agenta na odpowiednią maszynę i postępuj zgodnie z instrukcjami.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Wybierz miejsce instalacji agenta systemu Windows:

Instalowanie agenta na maszynie wirtualnej z systemem Windows Azure

Wybierz maszynę do zainstalowania agenta, a następnie kliknij przycisk Połącz.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Instalowanie agenta na maszynie z systemem Windows innym niż Azure

Pobierz agenta na odpowiednią maszynę i postępuj zgodnie z instrukcjami.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

2. Konfigurowanie dzienników do zbierania

Skonfiguruj obiekty, które chcesz zebrać, oraz ich ważność.

  1. W obszarze Ustawienia zaawansowane obszaru roboczego Konfiguracja wybierz pozycję Dane, a następnie pozycję Dziennik systemu.
  2. Wybierz pozycję Zastosuj poniższą konfigurację do moich maszyn i wybierz udogodnienia i ważności.
  3. Kliknij Zapisz.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

3. Konfigurowanie przekazywania zdarzeń forescout

Wykonaj poniższe kroki konfiguracji, aby uzyskać dzienniki forescout w Microsoft Sentinel.

  1. Wybierz urządzenie do skonfigurowania.
  2. Postępuj zgodnie z tymi instrukcjami , aby przekazywać alerty z platformy Forescout do serwera dziennika systemowego.
  3. Skonfiguruj ustawienia na karcie Wyzwalacze dziennika systemu.



Monitor właściwości hosta forescout

Obsługiwane przez:Microsoft Corporation

Łącznik Monitor właściwości hosta Forescout umożliwia łączenie właściwości hosta z platformy Forescout za pomocą Microsoft Sentinel, wyświetlanie, tworzenie zdarzeń niestandardowych i ulepszanie badania. Zapewnia to lepszy wgląd w sieć organizacji i poprawia możliwości operacji zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ForescoutHostProperties_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Wymaganie wtyczki Forescout: Upewnij się, że wtyczka forescout Microsoft Sentinel jest uruchomiona na platformie Forescout

Instrukcje dotyczące konfiguracji:

Instrukcje dotyczące konfigurowania wtyczki forescout Microsoft Sentinel znajdują się w portalu dokumentacji forescout (https://docs.forescout.com/bundle/sentinel-1-0-h)

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Fortinet FortiNDR Cloud

Obsługiwane przez:Fortinet

Łącznik danych fortinet FortiNDR Cloud zapewnia możliwość pozyskiwania danych w chmurze Fortinet FortiNDR do Microsoft Sentinel przy użyciu interfejsu API chmury FortiNDR

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
FncEventsSuricata_CL Nie Nie
FncEventsObservation_CL Nie Nie
FncEventsDetections_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia metastream: identyfikator klucza dostępu platformy AWS, klucz dostępu do wpisu tajnego platformy AWS, kod konta w chmurze fortiNDR są wymagane do pobrania danych zdarzeń.
  • Poświadczenia interfejsu API: token interfejsu API chmury FortiNDR, identyfikator UUID konta chmury fortiNDR jest wymagany do pobrania danych wykrywania.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API chmury FortiNDR w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik używa analizatora opartego na funkcji Kusto do normalizacji pól. Wykonaj następujące kroki , aby utworzyć alias funkcji Kusto Fortinet_FortiNDR_Cloud.

KROK 1 — Kroki konfiguracji kolekcji dzienników chmury Fortinet FortiNDR

Dostawca powinien podać lub połączyć się ze szczegółowymi krokami konfigurowania punktu końcowego interfejsu API "NAZWA APLIKACJI DOSTAWCY", aby funkcja Azure mogła pomyślnie uwierzytelnić się w nim, pobrać klucz autoryzacji lub token i ściągnąć dzienniki urządzenia do Microsoft Sentinel.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika chmury Fortinet FortiNDR należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także poświadczenia interfejsu API chmury FortiNDR (dostępne w ramach zarządzania kontami w chmurze FortiNDR), które są łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika chmury Fortinet FortiNDR.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację (upewnij się, że używasz tej samej lokalizacji co grupa zasobów, a lokalizacja obsługuje elastyczne użycie.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, AwsAccessKeyId, AwsSecretAccessKey i/lub inne wymagane pola.

  4. Kliknij pozycję Utwórz , aby wdrożyć.



Fortra Agari Data Connector (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Fortra Agari umożliwia pozyskiwanie dzienników z interfejsów API Fortra Agari do Microsoft Sentinel. Ten łącznik integruje się z produktami Agari Brand Protection (BP), Phishing Defense (APD) i Phishing Response (APR). Obsługuje ona przekształcenia czasu pozyskiwania oparte na usłudze DCR w celu wydajnego wykonywania zapytań. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usługi Agari .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AgariBPAlertsLog_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API usługi Agari

Postępuj zgodnie z poniższymi instrukcjami, aby uzyskać poświadczenia interfejsu API usługi Agari.

  1. Pobierz adres URL interfejsu API Zaloguj się do konsoli usługi Agari i przejdź do sekcji Interfejs API. Domyślny adres URL interfejsu API to https://api.agari.com

  2. Pobierz poświadczenia klienta Uzyskaj identyfikator klienta i klucz tajny klienta z sekcji Poświadczenia interfejsu API na koncie usługi Agari. Należy pamiętać, że różne produkty Agari (ochrona marki, ochrona przed wyłudzaniem informacji, reagowanie na wyłudzanie informacji) mogą wymagać oddzielnych poświadczeń interfejsu API.

  3. Wybierz pozycję Strumienie danych Wybierz strumienie danych Agari, które chcesz zebrać. Możesz wybrać co najmniej jeden strumień na podstawie subskrypcji i wymagań.

  • Podstawowy adres URL interfejsu API: (https://api.agari.com)
  • Identyfikator klienta: (Identyfikator klienta)
  • Klucz tajny klienta: (klucz tajny klienta)
  • Włączanie/wyłączanie połączenia



Zdalne dzienniki garrison ULTRA (przy użyciu Azure Functions)

Obsługiwane przez:Garrison

Łącznik zdalnych dzienników Garrison ULTRA umożliwia pozyskiwanie zdalnych dzienników garrison ULTRA do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Garrison_ULTRARemoteLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Garrison ULTRA: Aby korzystać z tego łącznika danych, musisz mieć aktywną licencję Garrison ULTRA .

Instrukcje dotyczące konfiguracji:

Wdrożenie — szablon Azure Resource Manager (ARM)

Te kroki przedstawiają automatyczne wdrażanie łącznika danych Zdalne dzienniki garrison ULTRA przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    portal.azure.com

  2. Podaj wymagane szczegóły, takie jak grupa zasobów, Microsoft Sentinel konfiguracje obszaru roboczego i pozyskiwania

UWAGA: Zaleca się utworzenie nowej grupy zasobów na potrzeby wdrażania tych zasobów. 3. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 4. Kliknij przycisk Kup , aby wdrożyć.



GCP Cloud Run (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych GCP Cloud Run zapewnia możliwość pozyskiwania dzienników żądań uruchomień w chmurze do Microsoft Sentinel przy użyciu pubu/podrzędnego. Aby uzyskać więcej informacji, zapoznaj się z omówieniem uruchamiania w chmurze .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPCloudRun Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Połącz usługę GCP Cloud Run z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz dzienniki uruchamiania w chmurze W konsoli Google Cloud Console włącz rejestrowanie w chmurze, jeśli nie zostało to wcześniej włączone, i zapisz zmiany. Wdróż lub zaktualizuj usługi Cloud Run z włączonym rejestrowaniem.

Link referencyjny: link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki żądań uruchamiania usługi GCP w chmurze dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w okienku podręcznym i kliknij pozycję Połącz.



GCP Cloud SQL (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych GCP Cloud SQL zapewnia możliwość pozyskiwania dzienników inspekcji do Microsoft Sentinel przy użyciu interfejsu API SQL chmury GCP. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dzienników inspekcji SQL w chmurze GCP .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPCloudSQL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie usługi GCP Cloud SQL z Microsoft Sentinel

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>

  1. W konsoli Google Cloud Console włącz interfejs API JĘZYKA SQL w chmurze, jeśli nie został wcześniej włączony, i zapisz zmiany.

  2. Połącz nowe moduły zbierające Aby włączyć dzienniki GCP Cloud SQL Dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.



Dzienniki inspekcji pubów/podkontroli GCP

Obsługiwane przez:Microsoft Corporation

Dzienniki inspekcji platformy Google Cloud Platform (GCP), pozyskane z łącznika Microsoft Sentinel, umożliwiają przechwytywanie trzech typów dzienników inspekcji: dzienników aktywności administratora, dzienników dostępu do danych i dzienników przejrzystości dostępu. Dzienniki inspekcji w chmurze Google rejestrują szlak, którego praktycy mogą używać do monitorowania dostępu i wykrywania potencjalnych zagrożeń w zasobach platformy Google Cloud Platform (GCP).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPAuditLogs Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć dzienniki inspekcji GCP dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.



Dzienniki pubów/podrzędnych Load Balancer GCP (za pośrednictwem struktury łączników bez kodu).

Obsługiwane przez:Microsoft Corporation

Dzienniki Load Balancer platformy Google Cloud Platform (GCP) zapewniają szczegółowy wgląd w ruch sieciowy, przechwytując zarówno działania przychodzące, jak i wychodzące. Te dzienniki służą do monitorowania wzorców dostępu i identyfikowania potencjalnych zagrożeń bezpieczeństwa w zasobach GCP. Ponadto dzienniki te obejmują również dzienniki GCP Web Application Firewall (WAF), zwiększając możliwość skutecznego wykrywania i ograniczania ryzyka.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPLoadBalancerLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz Load Balancer dzienniki Na koncie GCP przejdź do sekcji Load Balancer. W tym miejscu można nevigate do [Backend Service] -> [Edit], gdy jesteś w [Backend Service] w sekcji [Rejestrowanie] włącz pole wyboru [Włącz dzienniki]. Po otwarciu reguły przełącz przycisk przełącznika w sekcji Dzienniki na Wł. i zapisz zmiany.

Aby uzyskać więcej informacji: Link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki Load Balancer GCP dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.



Dzienniki przepływu GCP Pub/Sub VPC (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Dzienniki przepływu usługi VPC platformy Google Cloud Platform (GCP) umożliwiają przechwytywanie aktywności ruchu sieciowego na poziomie VPC, co umożliwia monitorowanie wzorców dostępu, analizowanie wydajności sieci i wykrywanie potencjalnych zagrożeń w zasobach GCP.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPVPCFlow Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz dzienniki przepływu VPC Na koncie GCP przejdź do sekcji sieć VPC. Wybierz podsieć, którą chcesz monitorować, i włącz dzienniki przepływu w sekcji Rejestrowanie.

Aby uzyskać więcej informacji: Dokumentacja usługi Google Cloud

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki przepływu GCP VPC dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu, a następnie kliknij przycisk Połącz.



Łącznik Gigamon AMX

Obsługiwane przez:Gigamon

Łącznik Gigamon umożliwia odczytywanie nieprzetworzonych danych zdarzeń z usługi Gigamon w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GigamonV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik odczytuje dane z tabel używanych przez program Gigamon CCF w obszarze roboczym usługi Microsoft Analytics, jeśli opcja przekazywania danych jest włączona w programie Gigamon CCF, nieprzetworzone dane zdarzeń są wysyłane do interfejsu API pozyskiwania danych Microsoft Sentinel.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Wypchnięcie dzienników do obszaru roboczego

Użyj następujących parametrów, aby skonfigurować maszynę do wysyłania dzienników do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream działania: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream zagrożeń: <wartość zmiennej podana w czasie instalacji>



GitHub (przy użyciu elementów webhook)

Obsługiwane przez:Microsoft Corporation

Łącznik danych elementu webhook usługi GitHub umożliwia pozyskiwanie subskrybowanych zdarzeń usługi GitHub do Microsoft Sentinel przy użyciu zdarzeń elementu webhook usługi GitHub. Łącznik zapewnia możliwość pobierania zdarzeń do Microsoft Sentinel co pomaga zbadać potencjalne zagrożenia bezpieczeństwa, przeanalizować użycie współpracy przez zespół, zdiagnozować problemy z konfiguracją i nie tylko.

Uwaga: Jeśli chcesz pozyskiwać dzienniki inspekcji usługi GitUb, zapoznaj się z artykułem GitHub Enterprise Audit Log Connector z galerii "Łączniki danych".

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
githubscanaudit_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik został utworzony na podstawie funkcji Azure wyzwalacza http. Udostępnia również punkt końcowy, z którym usługa GitHub będzie połączona za pośrednictwem funkcji elementu webhook i publikuje subskrybowane zdarzenia w Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika elementu webhook usługi Github należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych GitHub przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie i wdrażać ich. 3. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych elementu webhook usługi GitHub przy użyciu Azure Functions (Wdrażanie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  3. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie) — użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Kroki po wdrożeniu

KROK 1 — Aby uzyskać adres URL funkcji Azure

  1. Przejdź do strony przegląd funkcji Azure i kliknij pozycję "Funkcje" w lewym bloku.
  2. Kliknij funkcję o nazwie "GithubwebhookConnector".
  3. Przejdź do pozycji "GetFunctionurl" i skopiuj adres URL funkcji.

KROK 2 — Konfigurowanie elementu webhook w organizacji usługi GitHub

  1. Przejdź do usługi GitHub i otwórz swoje konto, a następnie kliknij pozycję "Twoje organizacje".
  2. Kliknij pozycję Ustawienia.
  3. Kliknij pozycję "Elementy webhook" i wprowadź adres URL aplikacji funkcji skopiowany z powyższego kroku 1 w polu tekstowym adres URL ładunku.
  4. Wybierz typ zawartości jako "application/json".
  5. Subskrybuj zdarzenia i kliknij pozycję "Dodaj element Webhook"

Teraz skończymy z konfiguracją elementu webhook usługi GitHub. Po wyzwoleniu zdarzeń usługi Github i po opóźnieniu od 20 do 30 minut (Ponieważ usługa LogAnalytics będzie obsługiwać uruchamianie zasobów po raz pierwszy), powinno być możliwe wyświetlenie wszystkich zdarzeń transakcyjnych z usługi Github do tabeli obszaru roboczego LogAnalytics o nazwie "githubscanaudit_CL".

Aby uzyskać więcej informacji, kliknij tutaj



Dziennik inspekcji przedsiębiorstwa w usłudze GitHub (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik dziennika inspekcji usługi GitHub umożliwia pozyskiwanie dzienników usługi GitHub do Microsoft Sentinel. Łącząc dzienniki inspekcji usługi GitHub z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia alertów niestandardowych i ulepszać proces badania.

Uwaga: Jeśli zamierzasz pozyskiwać zdarzenia subskrybowane w usłudze GitHub do Microsoft Sentinel, zapoznaj się z tematem Łącznik usługi GitHub (przy użyciu elementów webhook) z galerii "Łączniki danych".

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GitHubAuditLogsV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Osobisty token dostępu interfejsu API usługi GitHub: aby włączyć sondowanie dla dziennika inspekcji przedsiębiorstwa, upewnij się, że uwierzytelniony użytkownik jest administratorem przedsiębiorstwa i ma osobisty token dostępu gitHub (klasyczny) z zakresem read:audit_log .
  • Typ usługi GitHub Enterprise: ten łącznik będzie działać tylko w usłudze GitHub Enterprise Cloud; nie będzie obsługiwać usługi GitHub Enterprise Server.

Instrukcje dotyczące konfiguracji:

Łączenie dziennika inspekcji na poziomie przedsiębiorstwa usługi GitHub z Microsoft Sentinel

Włącz dzienniki inspekcji usługi GitHub. Postępuj zgodnie z tym przewodnikiem , aby utworzyć lub znaleźć osobisty token dostępu.

  • Siatka łączników danych (konfigurowana w portalu)



Google ApigeeX (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Google ApigeeX umożliwia pozyskiwanie dzienników inspekcji do Microsoft Sentinel przy użyciu interfejsu API Google Apigee. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API Google Apigee .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPApigee Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Połącz interfejs ApigeeX google z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>

  1. Włącz dzienniki apigeeX W konsoli Google Cloud Console włącz interfejs API Apigee, jeśli nie został wcześniej włączony, i zapisz zmiany.

  2. Połącz nowe moduły zbierające Aby włączyć dzienniki apigeeX dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w wyskakującym okienku i kliknij pozycję Połącz.



Google Cloud Platform CDN (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych CDN platformy Google Cloud Platform umożliwia pozyskiwanie dzienników inspekcji usługi Cloud CDN i dzienników ruchu usługi Cloud CDN do Microsoft Sentinel przy użyciu interfejsu API aparatu obliczeniowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Omówienie produktu .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPCDN Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Łączenie usługi GCP CDN z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz dzienniki usługi CDN W konsoli Google Cloud Console włącz rejestrowanie w chmurze, jeśli nie zostało to wcześniej włączone, i zapisz zmiany. Przejdź do sekcji Cloud CDN i kliknij pozycję Dodaj źródło, aby utworzyć zaplecza zgodnie z poniższym linkiem.

Link referencyjny: link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki GCP Cloud CDN dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w okienku podręcznym i kliknij pozycję Połącz.



Google Cloud Platform Cloud IDS (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych usługi Google Cloud Platform IDS umożliwia pozyskiwanie dzienników ruchu w usłudze Cloud IDS, dzienników zagrożeń i dzienników inspekcji w Microsoft Sentinel przy użyciu interfejsu API usług Google Cloud IDS. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usług Cloud IDS .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPIDS Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Łączenie usług GCP Cloud IDS z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz dzienniki usług IDS W konsoli Google Cloud Console włącz interfejs API usług Cloud IDS, jeśli nie został wcześniej włączony. Utwórz punkt końcowy usług IDS i zapisz zmiany.

Aby uzyskać więcej informacji na temat tworzenia i konfigurowania punktu końcowego usług IDS: Link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki usług GCP IDS dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w okienku podręcznym i kliknij pozycję Połącz.



Monitorowanie chmury platformy Google Cloud Platform (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Google Cloud Platform Cloud Monitoring pozyskuje dzienniki monitorowania z usługi Google Cloud do Microsoft Sentinel przy użyciu interfejsu API monitorowania chmury Google. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API monitorowania chmury .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPMonitoring Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie usługi Google Cloud Platform Cloud Monitoring z usługą Microsoft Sentinel

  1. Konfigurowanie integracji z monitorowaniem GCP W celu pobrania dzienników z monitorowania chmury GCP do Sentinel wymagany jest identyfikator projektu w chmurze Google.

  2. Wybierz typ metryki Aby zbierać dzienniki z usługi Google Cloud Monitoring, podaj wymagany typ metryki.

Aby uzyskać więcej informacji, zapoznaj się z tematem Google Cloud Metrics (Metryki chmury Google).

  1. Poświadczenia protokołu OAuth umożliwiające pobranie identyfikatora klienta Oauth i klucza tajnego klienta znajdują się w tej dokumentacji.

  2. Połącz się z Sentinel Kliknij pozycję Połącz, aby rozpocząć ściąganie dzienników monitorowania z usługi Google Cloud do Microsoft Sentinel.

  • Identyfikator projektu GCP:
  • Typ metryki:
  • Siatka łączników danych (konfigurowana w portalu)



Aparat obliczeniowy platformy Google Cloud Platform (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych aparatu obliczeniowego platformy Google Cloud Platform umożliwia pozyskiwanie dzienników inspekcji aparatu obliczeniowego do Microsoft Sentinel przy użyciu interfejsu API aparatu obliczeniowego Google Cloud. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API aparatu obliczeniowego w chmurze .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPComputeEngine Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Łączenie aparatu obliczeniowego GCP z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>

  1. Włącz dzienniki aparatu obliczeniowego W konsoli Google Cloud Console włącz interfejs API aparatu obliczeniowego, jeśli nie został wcześniej włączony, i zapisz zmiany.

  2. Połącz nowe moduły zbierające Aby włączyć dzienniki aparatu obliczeniowego dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w wyskakującym okienku i kliknij pozycję Połącz.



Google Cloud Platform DNS (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych DNS platformy Google Cloud Platform umożliwia pozyskiwanie dzienników zapytań DNS w chmurze i dzienników inspekcji DNS w chmurze do Microsoft Sentinel przy użyciu interfejsu API DNS w chmurze Google. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API DNS w chmurze .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPDNS Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Połącz usługę GCP DNS z Microsoft Sentinel **

UWAGA: Jeśli zarówno funkcja Azure, jak i łącznik CCF są uruchomione jednocześnie, w tabelach są wypełniane zduplikowane dane.

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz dzienniki DNS W konsoli Google Cloud Console przejdź do sekcji Usługa DNS w chmurze. Włącz rejestrowanie w chmurze, jeśli nie zostało to wcześniej włączone, i zapisz zmiany. W tym miejscu możesz zarządzać istniejącymi strefami lub utworzyć nową strefę i utworzyć zasady dla strefy, którą chcesz monitorować.

Aby uzyskać więcej informacji: Link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki GCP DNS dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w wyskakującym okienku i kliknij pozycję Połącz.



Usługa Google Cloud Platform IAM (za pośrednictwem platformy Codeless Connector Framework)

Obsługiwane przez:Microsoft Corporation

Łącznik danych usługi Google Cloud Platform IAM umożliwia pozyskiwanie dzienników inspekcji związanych z działaniami zarządzania tożsamościami i dostępem (IAM) w usłudze Google Cloud do Microsoft Sentinel przy użyciu interfejsu API usługi Google IAM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usługi GCP IAM .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPIAM Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie usługi GCP IAM z Microsoft Sentinel

UWAGA: Jeśli zarówno funkcja Azure, jak i łącznik CCF działają równolegle, w tabelach są wypełniane zduplikowane dane.

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Aby włączyć dzienniki usługi IAM na koncie GCP, przejdź do sekcji Zarządzanie dostępem i tożsamościami. W tym miejscu możesz utworzyć nowego użytkownika lub zmodyfikować rolę istniejącego użytkownika, którą chcesz monitorować. Pamiętaj, aby zapisać zmiany.

Aby uzyskać więcej informacji: Link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki GCPIAM dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.



Google Cloud Platform NAT (za pośrednictwem platformy codeless Connector Framework)

Obsługiwane przez:Microsoft Corporation

Łącznik danych NAT platformy Google Cloud Platform zapewnia możliwość pozyskiwania dzienników inspekcji translatora adresów sieciowych w chmurze i dzienników ruchu translatora adresów sieciowych w chmurze do Microsoft Sentinel przy użyciu interfejsu API aparatu obliczeniowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Omówienie produktu .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPNATAudit Tak Tak
GCPNAT Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Łączenie translatora adresów sieciowych GCP z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Włącz dzienniki translatora adresów sieciowych W konsoli Google Cloud Console włącz rejestrowanie w chmurze, jeśli nie zostało to wcześniej włączone, i zapisz zmiany. Przejdź do sekcji Cloud NAT i kliknij pozycję Dodaj źródło, aby utworzyć zaplecza zgodnie z poniższym linkiem.

Link referencyjny: link do dokumentacji

  1. Połącz nowe moduły zbierające Aby włączyć dzienniki translatora adresów sieciowych w chmurze usługi GCP dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w oknie podręcznym i kliknij pozycję Połącz.



Google Cloud Platform Resource Manager (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych usługi Google Cloud Platform Resource Manager zapewnia możliwość pozyskiwania dzienników Resource Manager Administracja Activity and Data Access Audit do Microsoft Sentinel przy użyciu interfejsu API Resource Manager w chmurze. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Omówienie produktu .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GCPResourceManager Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Łączenie Resource Manager GCP z Microsoft Sentinel **

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>

  1. Włącz Resource Manager dzienników w konsoli Google Cloud Console, włącz interfejs API usługi Cloud Resource Manager, jeśli nie został wcześniej włączony, i zapisz zmiany. Upewnij się, że masz uprawnienia do zarządzania tożsamościami na poziomie organizacji dla konta, aby wyświetlić wszystkie dzienniki w hierarchii zasobów. Linki do dokumentów można znaleźć w celu uzyskania różnych uprawnień do zarządzania dostępem i tożsamościami w zakresie kontroli dostępu za pomocą usługi IAM na każdym poziomie podanym w tym linku

  2. Połącz nowe moduły zbierające Aby włączyć dzienniki Resource Manager GCP dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, podaj wymagane informacje w oknie podręcznym i kliknij pozycję Połącz.



Aparat Google Kubernetes (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Dzienniki aparatu Google Kubernetes Engine (GKE) umożliwiają przechwytywanie aktywności klastra, zachowania obciążenia i zdarzeń zabezpieczeń, co umożliwia monitorowanie obciążeń kubernetes, analizowanie wydajności i wykrywanie potencjalnych zagrożeń w klastrach GKE.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GKEAudit Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>

  1. Włącz rejestrowanie aparatu Kubernetes na koncie GCP, przejdź do sekcji Aparat Kubernetes. Włącz rejestrowanie w chmurze dla klastrów. W obszarze Rejestrowanie w chmurze upewnij się, że określone dzienniki, które chcesz pozyskiwać — takie jak serwer interfejsu API, harmonogram, menedżer kontrolera, decyzja HPA i dzienniki aplikacji — są włączone do efektywnego monitorowania i analizy zabezpieczeń.

  2. Połącz nowe moduły zbierające Aby włączyć dzienniki GKE dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu, a następnie kliknij przycisk Połącz.



Centrum poleceń zabezpieczeń Google

Obsługiwane przez:Microsoft Corporation

Centrum poleceń zabezpieczeń platformy Google Cloud Platform (GCP) to kompleksowa platforma do zarządzania zabezpieczeniami i ryzykiem dla chmury Google Cloud pozyskiwana z łącznika Sentinel. Oferuje funkcje, takie jak spis zasobów i odnajdywanie, wykrywanie luk w zabezpieczeniach i zagrożeń oraz ograniczanie ryzyka i korygowanie, które ułatwiają uzyskanie wglądu w bezpieczeństwo i obszar ataków na dane organizacji. Ta integracja umożliwia wydajniejsze wykonywanie zadań związanych z ustaleniami i zasobami.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GoogleCloudSCC Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

  1. Skonfiguruj środowisko GCP Musisz mieć zdefiniowane i skonfigurowane następujące zasoby GCP: temat, subskrypcja tematu, pula tożsamości obciążeń, dostawca tożsamości obciążenia i konto usługi z uprawnieniami do pobierania i używania z subskrypcji. Narzędzie Terraform udostępnia interfejs API dla usługi IAM, która tworzy zasoby. Łącze do skryptów programu Terraform.
  • Identyfikator dzierżawy: unikatowy identyfikator używany jako dane wejściowe w konfiguracji narzędzia Terraform w środowisku GCP.< Wartość zmiennej podana w czasie instalacji>
  1. Połącz nowe moduły zbierające Aby włączyć funkcję GCP SCC dla Microsoft Sentinel, kliknij przycisk Dodaj nowy moduł zbierający, wypełnij wymagane informacje w okienku kontekstu i kliknij pozycję Połącz.



Działania obszaru roboczego Google (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Działania obszaru roboczego Google umożliwia pozyskiwanie zdarzeń aktywności z interfejsu API obszaru roboczego Google do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GoogleWorkspaceReports Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do interfejsu API obszaru roboczego Google: wymagany jest dostęp do interfejsu API działań obszaru roboczego Google za pośrednictwem usługi Oauth.

Instrukcje dotyczące konfiguracji:

Połącz się z obszarem roboczym Google, aby rozpocząć zbieranie dzienników aktywności użytkowników w Microsoft Sentinel

Kroki konfiguracji interfejsu API raportów Google

  1. Zaloguj się do konsoli google w chmurze przy użyciu poświadczeń Administracja obszaru roboczegohttps://console.cloud.google.com.
  2. Za pomocą opcji wyszukiwania (dostępnej w górnym środku) wyszukaj interfejsy API & Services
  3. W interfejsach API & Services —>Enabled APIs & Services włącz interfejs API zestawu Administracja SDK dla tego projektu.
  4. Przejdź do obszaru Interfejsy API & Services —>ekran zgody OAuth. Jeśli jeszcze nie skonfigurowano, utwórz ekran zgody protokołu OAuth, wykonując następujące kroki:
    1. Podaj nazwę aplikacji i inne obowiązkowe informacje.
    2. Wybierz pozycję Zewnętrzny jako typ użytkownika dla odbiorców.
  5. Przejdź do pozycji Interfejsy API & Services —>poświadczenia i utwórz identyfikator klienta OAuth 2.0
    1. Kliknij pozycję Utwórz poświadczenia u góry i wybierz pozycję Identyfikator klienta Oauth.
    2. Wybierz pozycję Aplikacja internetowa z listy rozwijanej Typ aplikacji.
    3. Podaj odpowiednią nazwę aplikacji internetowej i dodaj identyfikator URI przekierowania w poniższym formularzu jako autoryzowane identyfikatory URI przekierowania.
    4. Po kliknięciu przycisku Utwórz zostanie wyświetlony identyfikator klienta i klucz tajny klienta. Skopiuj te wartości i użyj ich w poniższych krokach konfiguracji.
  6. Przejdź do obszaru Google Auth Platform ->Data Access: Dodaj zakres interfejsu API zestawu SDK Administracja

Skonfiguruj kroki dostępu do interfejsu API raportów Google. Następnie podaj wymagane informacje poniżej i kliknij pozycję Połącz.

  • Siatka łączników danych (konfigurowana w portalu)



Łącznik danych GravityZone

Obsługiwane przez:Bitdefender SRL

Ten łącznik umożliwia integrację aplikacji Bitdefender GravityZone i Microsoft Sentinel za pośrednictwem interfejsu API usługi wypychania zdarzeń. Po skonfigurowaniu wszystkie typy zdarzeń GravityZone są przesyłane strumieniowo bezpośrednio do obszaru roboczego Microsoft Sentinel, gdzie są one przechowywane jako dzienniki w GzSecurityEvents_CL tabeli.

Kluczowe kategorie zdarzeń, takie jak EDR, XDR, ograniczanie ryzyka wymuszania okupu, piaskownica sieciowa i zdarzenia złośliwego oprogramowania exchange , mogą być automatycznie skorelowane i generować zdarzenia za pośrednictwem reguły analizy alertów o zdarzeniach NRT GravityZone .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GzSecurityEvents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • aplikacja systemu Azure Rejestracja: Microsoft Entra rejestrację aplikacji z następującymi szczegółami zachowanymi identyfikatorem katalogu (dzierżawy), identyfikatorem aplikacji (klienta), identyfikatorem obiektu jednostki usługi zarządzanej (z wpisu aplikacji dla przedsiębiorstw), wpisem tajnym klienta (wygenerowanym w obszarze Certyfikaty & wpisami tajnymi).
  • Konto chmury GravityZone: konto chmury GravityZone z wygenerowanym kluczem interfejsu API dla punktu końcowego usługi wypychania zdarzeń.
  • Przeczytaj nasz przewodnik: Postępuj zgodnie z tym artykułem krok po kroku, aby skonfigurować integrację. Klienci | Partnerów

Instrukcje dotyczące konfiguracji:

  1. Kliknij przycisk Wdróż, aby Azure poniżej i wypełnić wymagane parametry.

aka.ms

  1. Zbieranie adresu URL pozyskiwania dzienników z gz-sentinel-dcepunktu końcowego zbierania danych

  2. Zbieranie niezmiennego identyfikatora z gz-sentinel-dcrreguły zbierania danych

  3. Przejdź do konta chmury GravityZone i przejdź do pozycji Moje konto. Utwórz klucz interfejsu API z uprawnieniami usługi wypychania zdarzeń .

  4. Skonfiguruj ustawienia usługi wypychania zdarzeń przy użyciu tego artykułu. Klienci | Partnerzy. Należy pamiętać, że po pomyślnym wdrożeniu łącznika danych & pomyślnej konfiguracji usługi wypychania zdarzeń GravityZone system otrzyma dane dziennika aktywności niemal w czasie rzeczywistym. Może wystąpić krótkie opóźnienie między przesyłaniem danych a jego pojawieniem się w sekcji dzienników Microsoft Sentinel.



Analiza zagrożeń GreyNoise

Obsługiwane przez:GreyNoise

Ten łącznik danych instaluje aplikację funkcji Azure, aby pobierać wskaźniki GreyNoise raz dziennie i wstawia je do tabeli ThreatIntelIndicators w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelIndicators Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Klucz interfejsu API GreyNoise: pobierz klucz interfejsu API GreyNoise tutaj.

Instrukcje dotyczące konfiguracji:

**Możesz połączyć aplikację GreyNoise Threat Intelligence z Microsoft Sentinel, wykonując poniższe kroki: **

Poniższe kroki umożliwiają utworzenie aplikacji Azure usługi AAD, pobranie klucza interfejsu API GreyNoise i zapisanie wartości w App Configuration funkcji Azure.

1. Pobierz klucz interfejsu API z programu GreyNoise Visualizer.

Generowanie klucza interfejsu API z poziomu programu GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api

2. W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy i identyfikator klienta. Ponadto uzyskaj identyfikator obszaru roboczego usługi Log Analytics skojarzony z wystąpieniem Microsoft Sentinel (powinien być wyświetlany poniżej).

Postępuj zgodnie z instrukcjami w tym miejscu, aby utworzyć aplikację usługi AAD Azure i zapisać identyfikator klienta i identyfikator dzierżawy: /azure/sentinel/connect-threat-intelligence-upload-api#instructions UWAGA: Poczekaj na krok 5, aby wygenerować wpis tajny klienta.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Postępuj zgodnie z instrukcjami tutaj, aby dodać rolę współautora Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. Określ uprawnienia usługi AAD, aby umożliwić ms interfejs interfejs Graph API dostęp do interfejsu API przekazywania wskaźników.

Postępuj zgodnie z tą sekcją tutaj, aby dodać uprawnienie "ThreatIndicators.ReadWrite.OwnedBy" do aplikacji usługi AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Po powrocie do aplikacji usługi AAD upewnij się, że udzielasz zgody administratora na właśnie dodane uprawnienia. Na koniec w sekcji "Tokeny i interfejsy API" wygeneruj wpis tajny klienta i zapisz go. Będzie ona potrzebna w kroku 6.

5. Wdróż rozwiązanie analizy zagrożeń (nowe) (wersja 3.0.14 lub nowsza), które obejmuje interfejs API przekazywania wskaźników analizy zagrożeń (wersja zapoznawcza)

Zobacz Microsoft Sentinel Content Hub dla tego rozwiązania i zainstaluj je w wystąpieniu Microsoft Sentinel. Należy pamiętać, że w tym kroku nie trzeba wykonywać żadnej konfiguracji.

6. Wdrażanie funkcji Azure

Kliknij przycisk Wdróż, aby Azure.

aka.ms

Wypełnij odpowiednie wartości dla każdego parametru. Należy pamiętać, że jedynymi prawidłowymi wartościami parametru GREYNOISE_CLASSIFICATIONS są niegroźne, złośliwe i/lub nieznane, które muszą być rozdzielone przecinkami.

7. Wysyłanie wskaźników do Sentinel

Aplikacja funkcji zainstalowana w kroku 6 wysyła zapytanie do interfejsu API GreyNoise GNQL raz dziennie i przesyła każdy wskaźnik znaleziony w formacie STIX 2.1 do interfejsu API wskaźników analizy zagrożeń firmy Microsoft. Każdy wskaźnik wygasa po około 24 godzinach od utworzenia, chyba że zostanie znaleziony w zapytaniu następnego dnia. W takim przypadku czas ważnego do momentu wydłużania wskaźnika TI jest przedłużony o kolejne 24 godziny, co powoduje, że jest on aktywny w Microsoft Sentinel.

Aby uzyskać więcej informacji na temat interfejsu API GreyNoise i języka zapytań GreyNoise (GNQL), kliknij tutaj.



Łącznik Halcyon

Obsługiwane przez:Halcyon

Łącznik Halcyon umożliwia wysyłanie danych z aplikacji Halcyon do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
HalcyonEvents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra Utwórz uprawnienia: uprawnienia do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Uprawnienia przypisania roli: uprawnienia do zapisu wymagane do przypisania roli wydawcy metryk monitorowania do reguły zbierania danych (DCR). Zazwyczaj wymaga roli Właściciel lub Administrator dostępu użytkowników na poziomie grupy zasobów.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i aprowizowanie wymaganych uprawnień

Ten łącznik odczytuje dane z tabel używanych przez firmę Halcyon w obszarze roboczym usługi Microsoft Analytics, jeśli dane są przekazywane dalej

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Konfigurowanie integracji na platformie Halcyon

Użyj następujących parametrów, aby skonfigurować integrację na platformie Halcyon.

  • Identyfikator katalogu (identyfikator dzierżawy): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji (identyfikator klienta): <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji (wpis tajny poświadczeń) (ten wpis tajny nie będzie widoczny po opuszczeniu tej strony): <wartość zmiennej podana w czasie instalacji>
  • Punkt końcowy zbierania danych (URL): <wartość zmiennej podana w czasie instalacji>
  • Identyfikator reguły zbierania danych (identyfikator reguły): <wartość zmiennej podana w czasie instalacji>



Dane zasobów zabezpieczeń Holm (przy użyciu Azure Functions)

Obsługiwane przez:Holm Security

Łącznik zapewnia możliwość sondowania danych z usługi Holm Security Center na Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
net_assets_CL Nie Nie
web_assets_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejs API Zabezpieczenia Holm: wymagany jest token Holm interfejs API Zabezpieczenia. Token interfejs API Zabezpieczenia Holm

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z zasobami zabezpieczeń Holm w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji interfejs API Zabezpieczenia Holm

Postępuj zgodnie z tymi instrukcjami , aby utworzyć token uwierzytelniania interfejsu API.

KROK 2 — Użyj poniższej opcji wdrożenia, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika zabezpieczeń Holm należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępny token autoryzacji interfejs API Zabezpieczenia Holm.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Wdrażanie szablonu Azure Resource Manager (ARM)

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika zabezpieczeń Holm.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API, "i/lub inne wymagane pola".

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.



Dzienniki usług IIS serwerów Microsoft Exchange

Obsługiwane przez:Community

[Opcja 5] — korzystanie z agenta monitora Azure — możesz przesyłać strumieniowo wszystkie dzienniki usług IIS z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
W3CIISLog Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

Ten łącznik danych jest opcją 5 witryny typu wiki.

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny Wdróż agenta Azure Arc Dowiedz się więcej

[Opcja 5] Dzienniki usług IIS serwerów exchange

Wybieranie sposobu przesyłania strumieniowego dzienników usług IIS serwerów Programu Exchange

Włączanie reguły zbierania danych

Dzienniki usług IIS są zbierane tylko z agentów systemu Windows .

Opcja 1 — szablon Azure Resource Manager (ARM) (metoda preferowana)

Ta metoda służy do zautomatyzowanego wdrażania DCE i DCR.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Możesz zmienić proponowaną nazwę DCE.

  4. Kliknij pozycję Utwórz , aby wdrożyć.

B. Wdrażanie reguły połączenia danych

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. W portalu Azure przejdź do punktu końcowego zbierania danych Azure.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę DCE.
  4. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Tworzenie środowiska DCR, typ dziennika usług IIS

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola, Wybierz system Windows jako typ platformy i nadaj nazwę dcr. Wybierz utworzony serwer DCE.
  4. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  5. W obszarze "Zbieranie i dostarczanie" dodaj typ źródła danych "Dzienniki usług IIS" (Nie wprowadzaj ścieżki, jeśli ścieżka dzienników usług IIS jest domyślnie skonfigurowana). Kliknij pozycję "Dodaj źródło danych"
  6. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY



Illumio Insights

Obsługiwane przez:Illumio

Łącznik danych Illumio Insights umożliwia pozyskiwanie dzienników z interfejsu API Illumio do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API Illumio do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
IlumioInsights Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API usługi Illumio Insights

Wymagania wstępne

  • Rejestrowanie i logowanie do konsoli Illumio przy użyciu prawidłowych poświadczeń
  • Poświadczenia klienta muszą być przechowywane na koncie Microsoft Sentinel dzierżawy

Krok 1. Rejestrowanie konta usługi

  1. Przejdź do konsoli Illumio, → dostęp do kont usługi →
  2. Tworzenie konta usługi dla dzierżawy
  3. Po utworzeniu konta usługi zostaną wyświetlone poświadczenia klienta
  4. Skopiuj nazwę użytkownika (klucz interfejsu API) i wpis tajny krok 2: dodawanie poświadczeń klienta do Sentinel konta
  • Dodawanie klucza interfejsu API i wpisu tajnego do Sentinel Account na potrzeby uwierzytelniania dzierżawy
  • Te poświadczenia będą używane do uwierzytelniania wywołań interfejsu API Illumio SaaS

Krok 3. Użycie interfejsu API Łącznik użyje tych poświadczeń do wywołania interfejsu API Illumio SaaS:

  • Punkt końcowy: GET https://gw.console.illum.io/api/v1/resource-insights
  • Wymagane nagłówki:
    • x-illumio-tenant-id: Identyfikator dzierżawy Illumio
    • x-auth-key: Klucz interfejsu API uzyskany w kroku 1
    • x-auth-X-api-secret: klucz tajny uzyskany w kroku 1

Narzędzie Authentication Validation Illumio weryfikuje żądanie względem:

  • Podpis względem kluczy publicznych identyfikatora Entra
  • Odbiorcy (aud) pasują do identyfikatora URI identyfikatora aplikacji interfejsu API
  • Walidacja wystawcy

Wypełnij wymagane pola poniżej, korzystając z poświadczeń uzyskanych z konsoli Illumio:

  • Illumio Insights Api Key: (api_XXXXXX)
  • Wpis tajny interfejsu API: (wpis tajny interfejsu API)
  • Identyfikator dzierżawy Illumio: ({illumioTenantId})
  • Włączanie/wyłączanie połączenia



Podsumowanie usługi Illumio Insights

Obsługiwane przez:Illumio

Łącznik danych podsumowania usługi Illumio Insights umożliwia pozyskiwanie szczegółowych informacji o zabezpieczeniach i raportów analizy zagrożeń w Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API Illumio . Łącznik umożliwia pobieranie codziennych i cotygodniowych raportów podsumowań z illumio i wizualizowanie ich w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
IllumioInsightsSummary_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp do interfejsu API Illumio: dostęp do interfejsu API Illumio jest wymagany dla interfejsu API podsumowania usługi Illumio Insights.

Instrukcje dotyczące konfiguracji:

1. Konfiguracja

Skonfiguruj łącznik podsumowania usługi Illumio Insights.

[! UWAGA] Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania.

  • Illumio Insights Api Key: (api_XXXXXX)
  • Wpis tajny interfejsu API: (wpis tajny interfejsu API)
  • Identyfikator dzierżawy Illumio: ({illumioTenantId})

2. Połącz

Włącz łącznik Podsumowanie analizy Illumio.

  • Włączanie/wyłączanie połączenia



Illumio SaaS (przy użyciu Azure Functions)

Obsługiwane przez:Illumio

Łącznik Illumio zapewnia możliwość pozyskiwania zdarzeń do Microsoft Sentinel. Łącznik zapewnia możliwość pozyskiwania zdarzeń inspekcji i przepływu z zasobnika AWS S3.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Illumio_Auditable_Events_CL Tak Tak
Illumio_Flow_Events_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Wymagane są poświadczenia/uprawnienia konta SQS i AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Jeśli używasz zasobnika S3 dostarczonego przez illumio, skontaktuj się z pomocą techniczną Illumio. Na twoje żądanie podadzą nazwę zasobnika AWS S3, adres URL usług AWS SQS i poświadczenia platformy AWS, aby uzyskać do nich dostęp.
  • Klucz interfejsu API Illumio i wpis tajny: ILLUMIO_API_KEY, ILLUMIO_API_SECRET jest wymagane, aby skoroszyt nawiązywał połączenie z usługą SaaS PCE i pobierał odpowiedzi interfejsu API.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z usługami AWS SQS/S3 w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy autoryzacji interfejsu API lub tokenów w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Wymagania wstępne

  1. Upewnij się, że usługa AWS SQS jest skonfigurowana dla zasobnika s3, z którego będą pobierane dzienniki zdarzeń z możliwością inspekcji i przepływu. W przypadku, gdy funkcja Illumio udostępnia zasobnik, skontaktuj się z pomocą techniczną illumio dla adresu URL sqs, nazwy zasobnika s3 i poświadczeń platformy AWS.
  2. Rejestrowanie aplikacji usługi AAD — w przypadku dcr (reguły zbierania danych) w celu uwierzytelniania w celu pozyskiwania danych do analizy dzienników należy użyć aplikacji Entra. 1. Postępuj zgodnie z instrukcjami w tym miejscu (kroki 1–5), aby uzyskać identyfikator dzierżawy usługi AAD, identyfikator klienta usługi AAD i wpis tajny klienta usługi AAD.
  3. Upewnij się, że utworzono obszar roboczy usługi Log Analytics. Zanotuj nazwę i region, w którym została wdrożona.

Wdrożenie

Wybierz jedną z poniższych opcji. Użyj poniższego szablonu usługi ARM, aby wdrożyć zasoby platformy Azure lub ręcznie wdrożyć aplikację funkcji.

1. Szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania zasobów Azure przy użyciu tempa arm.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Podaj wymagane szczegóły, takie jak Microsoft Sentinel Obszar roboczy, poświadczenia platformy AWS, Azure AD szczegóły aplikacji i konfiguracje pozyskiwania

UWAGA: Zaleca się utworzenie nowej grupy zasobów na potrzeby wdrażania aplikacji funkcji i skojarzonych zasobów. 3. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 4. Kliknij przycisk Kup , aby wdrożyć.

2. Wdrażanie dodatkowych aplikacji funkcji do obsługi skalowania

Ta metoda służy do zautomatyzowanego wdrażania dodatkowych aplikacji funkcji przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

3. Ręczne wdrażanie Azure Functions

Wdrażanie za pośrednictwem Visual Studio Code.

  1. Wdrażanie aplikacji funkcji

  2. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.

  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

  5. Konfigurowanie aplikacji funkcji

  6. Postępuj zgodnie z linkiem> wstawiania dokumentacji<, aby skonfigurować wszystkie wymagane zmienne środowiskowe i kliknij przycisk Zapisz. Upewnij się, że aplikacja funkcji zostanie ponownie uruchomiona po zapisaniu ustawień.



Zapora aplikacji internetowej w chmurze Imperva (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych zapory aplikacji internetowej w chmurze Imperva zapewnia możliwość integracji i pozyskiwania zdarzeń Web Application Firewall w Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją integracji dzienników. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ImpervaWAFCloud_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API chmury Imperva w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją Azure Functions.

**UWAGA:**Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami w usłudze ImpervaWAFCloud wdrożonej za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Kroki konfiguracji integracji dziennika

Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.

KROK 2 — Wybierz jedną z dwóch następujących opcji wdrażania, aby wdrożyć łącznik i skojarzone Azure Functions

WAŻNE: Przed wdrożeniem łącznika danych obszaru roboczego należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych zapory aplikacji internetowej w chmurze Imperva przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź identyfikator ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych zapory aplikacji internetowej w chmurze Imperva za pomocą Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Musisz przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji Azure Functions. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. ImpervaCloudXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Zapora aplikacji internetowej w chmurze Imperva (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych chmury zapory aplikacji internetowej Imperva umożliwia pozyskiwanie dzienników do Microsoft Sentinel przy użyciu integracji dzienników Imperva za pośrednictwem usługi AWS S3 z powiadomieniami SQS. Łącznik analizuje zdarzenia zapory aplikacji internetowej w formacie CEF, w tym dzienniki dostępu i alerty zabezpieczeń na potrzeby wykrywania zagrożeń i badania. Aby uzyskać więcej informacji, zapoznaj się z tematem Integracja dziennika chmury zapory aplikacji internetowej Imperva .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ImpervaWAFCloud Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

**Połącz chmurę zapory aplikacji internetowej Imperva z Microsoft Sentinel

**

UWAGA: Ten łącznik pobiera dzienniki zapory aplikacji internetowej w chmurze Imperva z zasobnika usługi AWS S3

Aby zebrać dane z aplikacji Imperva, należy skonfigurować następujące zasoby

  1. ARN roli platformy AWS do zbierania danych z aplikacji Imperva, musisz ARN roli platformy AWS.

  2. Adres URL kolejki usług AWS SQS Do zbierania danych z aplikacji Imperva potrzebny jest adres URL kolejki usług AWS SQS.

Aby uzyskać szczegółowe kroki pobierania roli platformy AWS ARN, adresu URL kolejki SQS i konfigurowania przekazywania dzienników platformy Imperva do zasobnika Amazon S3, zapoznaj się z przewodnikiem konfiguracji łącznika.

  • Siatka łączników danych (konfigurowana w portalu)



Infoblox Cloud Data Connector za pośrednictwem ama

Obsługiwane przez:Infoblox

Łącznik infoblox Cloud Data Connector umożliwia łatwe łączenie danych infoblox z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

WAŻNE: W tym Microsoft Sentinel łącznik danych założono, że host łącznika danych Infoblox został już utworzony i skonfigurowany w portalu infoblox Cloud Services Portal (CSP). Ponieważ łącznik danych Infoblox jest funkcją usługi Threat Defense, wymagany jest dostęp do odpowiedniej subskrypcji usługi Threat Defense. Aby uzyskać więcej informacji i wymagania dotyczące licencjonowania, zobacz ten przewodnik szybkiego startu .

1. konfiguracja agenta Linux Syslog

Zainstaluj i skonfiguruj agenta Linux, aby zbierał komunikaty dziennika Syslog w formacie Common Event Format (CEF) i przekazywał je do Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny Linux

Wybierz lub utwórz maszynę Linux, która Microsoft Sentinel będzie używana jako serwer proxy między rozwiązaniem zabezpieczeń i Microsoft Sentinel ta maszyna może znajdować się w środowisku lokalnym, Azure lub innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie Linux

Zainstaluj agenta monitorowania firmy Microsoft na maszynie Linux i skonfiguruj maszynę do nasłuchiwania na niezbędnym porcie i przekazywania komunikatów do obszaru roboczego Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version.

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

  • Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:: <wartość zmiennej podana w czasie instalacji>

2. Skonfiguruj program Infoblox w celu wysyłania danych dziennika systemowego do łącznika danych w chmurze infoblox w celu przekazywania danych do agenta usługi Syslog

Wykonaj poniższe kroki, aby skonfigurować narzędzie Infoblox CDC do wysyłania danych do Microsoft Sentinel za pośrednictwem agenta Linux Syslog.

  1. Przejdź do obszaru Zarządzanie łącznikami > danych.
  2. Kliknij kartę Konfiguracja docelowa u góry.
  3. Kliknij pozycję Utwórz > dziennik systemowy.
  • Nazwa: nadaj nowemu obiektowi docelowemu znaczącą nazwę, taką jak Microsoft-Sentinel-Destination.
  • Opis: opcjonalnie nadaj mu zrozumiały opis.
  • Stan: ustaw stan na Włączone.
  • Format: ustaw format na CEF.
  • Nazwa FQDN/IP: wprowadź adres IP urządzenia Linux, na którym zainstalowano agenta Linux.
  • Port: pozostaw numer portu na 514.
  • Protokół: wybierz żądany protokół i certyfikat urzędu certyfikacji, jeśli ma to zastosowanie.
  • Kliknij pozycję Zapisz & Zamknij.
  1. Kliknij kartę Konfiguracja przepływu ruchu u góry.
  2. Kliknij pozycję Utwórz.
  • Nazwa: nadaj nowej usłudze Traffic Flow znaczącą nazwę, taką jak Microsoft-Sentinel-Flow.
  • Opis: opcjonalnie nadaj mu zrozumiały opis.
  • Stan: ustaw stan na Włączone.
  • Rozwiń sekcję Wystąpienie usługi .
  • Wystąpienie usługi: wybierz żądane wystąpienie usługi, dla którego jest włączona usługa łącznika danych.
  • Rozwiń sekcję Konfiguracja źródła .
  • Źródło: wybierz pozycję BloxOne Cloud Source.
  • Wybierz wszystkie żądane typy dzienników , które chcesz zebrać. Obecnie obsługiwane typy dzienników to:
  • Zapytanie/dziennik odpowiedzi usługi Threat Defense
  • Dziennik trafień źródeł zagrożeń usługi Threat Defense
  • Dziennik zapytań/odpowiedzi DDI
  • Dziennik dzierżawy DHCP usługi DDI
  • Rozwiń sekcję Konfiguracja docelowa .
  • Wybierz właśnie utworzoną lokalizację docelową .
  • Kliknij pozycję Zapisz & Zamknij.
  1. Zezwalaj na aktywację konfiguracji.

3. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na komputerze

  • Uruchom następujące polecenie, aby zweryfikować łączność:: <wartość zmiennej podana w czasie instalacji>

**4. Zabezpieczanie maszyny **

Upewnij się, że skonfigurowano zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >



Łącznik danych Infoblox za pośrednictwem interfejsu API REST

Obsługiwane przez:Infoblox

Łącznik danych Infoblox umożliwia łatwe łączenie danych infoblox TIDE i danych dokumentacji z Microsoft Sentinel. Łącząc dane z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Failed_Range_To_Ingest_CL Nie Nie
Infoblox_Failed_Indicators_CL Nie Nie
dossier_whois_CL Nie Nie
dossier_whitelist_CL Nie Nie
dossier_tld_risk_CL Nie Nie
dossier_threat_actor_CL Nie Nie
dossier_rpz_feeds_records_CL Nie Nie
dossier_rpz_feeds_CL Nie Nie
dossier_nameserver_matches_CL Nie Nie
dossier_nameserver_CL Nie Nie
dossier_malware_analysis_v3_CL Nie Nie
dossier_inforank_CL Nie Nie
dossier_infoblox_web_cat_CL Nie Nie
dossier_geo_CL Nie Nie
dossier_dns_CL Nie Nie
dossier_atp_threat_CL Nie Nie
dossier_atp_CL Nie Nie
dossier_ptr_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz interfejsu API Infoblox . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, aby połączyć się z interfejsem API Infoblox, aby utworzyć wskaźniki zagrożeń dla tide i ściągnąć dane dokumentacji do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania podręcznika TriggersSync.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 2 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania podręcznika TriggersSync. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania podręcznika TriggersSync.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 4 . Kroki generowania poświadczeń interfejsu API Infoblox

Postępuj zgodnie z tymi instrukcjami, aby wygenerować klucz interfejsu API Infoblox. W portalu infoblox Cloud Services wygeneruj klucz interfejsu API i skopiuj go w bezpiecznym miejscu w następnym kroku. Instrukcje dotyczące tworzenia kluczy interfejsu API można znaleźć tutaj.

KROK 5 — kroki wdrażania łącznika i skojarzonej funkcji Azure

WAŻNE: Przed wdrożeniem łącznika danych Infoblox należy łatwo uzyskać identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów). Oraz poświadczenia autoryzacji interfejsu API infoblox

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Infoblox.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Azure identyfikator dzierżawy Azure identyfikator klienta Azure tokenu infoblox interfejsu API klucza tajnego klienta Infoblox Podstawowy adres URL Identyfikator obszaru roboczego — poziom dziennika klucza (domyślnie: INFO) Identyfikator zasobu obszaru roboczego usługi App Insights na poziomie zaufania

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Infoblox SOC Insight Data Connector via AMA

Obsługiwane przez:Infoblox

Łącznik danych infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Ten łącznik danych pozyskuje dzienniki CDC usługi Infoblox SOC Insight w obszarze roboczym usługi Log Analytics przy użyciu nowego agenta Azure Monitor. Dowiedz się więcej o pozyskiwaniu przy użyciu nowego agenta Azure Monitor tutaj. Firma Microsoft zaleca korzystanie z tego łącznika danych.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Aby zbierać dane z maszyn wirtualnych innych niż Azure, muszą mieć zainstalowane i włączone Azure Arc. Dowiedz się więcej
  • Należy zainstalować typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych AMA. Dowiedz się więcej

Instrukcje dotyczące konfiguracji:

Klucze obszaru roboczego

Aby korzystać z podręczników w ramach tego rozwiązania, znajdź swój identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego poniżej, aby ułatwić sobie pracę.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Parsery

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami o nazwie InfobloxCDC_SOCInsights wdrożonej za pomocą rozwiązania Microsoft Sentinel.

SOC Insights

Ten łącznik danych zakłada, że masz dostęp do usługi Infoblox BloxOne Threat Defense SOC Insights. Więcej informacji na temat usługi SOC Insights można znaleźć tutaj.

Łącznik danych w chmurze infoblox

Ten łącznik danych zakłada, że host łącznika danych Infoblox został już utworzony i skonfigurowany w portalu infoblox Cloud Services (CSP). Ponieważ łącznik danych Infoblox jest funkcją usługi BloxOne Threat Defense, wymagany jest dostęp do odpowiedniej subskrypcji usługi BloxOne Threat Defense. Aby uzyskać więcej informacji i wymagania dotyczące licencjonowania, zobacz ten przewodnik szybkiego startu .

Wykonaj poniższe kroki, aby skonfigurować ten łącznik danych

Odp. Konfigurowanie wspólnego formatu zdarzeń (CEF) za pośrednictwem łącznika danych ama

Uwaga: dzienniki CEF są zbierane tylko z agentów Linux

  1. Przejdź do bloku łączników danych obszaru roboczego > Microsoft Sentinel.

  2. Wyszukaj typowego formatu zdarzeń (CEF) za pośrednictwem łącznika danych ama i otwórz go.

  3. Upewnij się, że nie skonfigurowano żadnego istniejącego obiektu DCR do zbierania wymaganych obiektów dzienników, ponieważ może to spowodować duplikowanie dziennika. Utwórz nowy dcr (reguła zbierania danych).

    Uwaga: Zaleca się zainstalowanie agenta AMA w wersji 1.27 co najmniej. Dowiedz się więcej i upewnij się, że nie ma zduplikowanego kontrolera DCR, ponieważ może to spowodować duplikowanie dziennika.

  4. Uruchom polecenie podane na stronie Common Event Format (CEF) za pośrednictwem łącznika danych AMA , aby skonfigurować moduł zbierający CEF na maszynie.

B. W portalu infoblox Cloud Services skonfiguruj usługę Infoblox BloxOne w celu wysyłania danych dziennika systemu CEF do łącznika danych w chmurze infoblox w celu przesłania dalej do agenta usługi Syslog

Wykonaj poniższe kroki, aby skonfigurować narzędzie Infoblox CDC do wysyłania danych bloxOne do Microsoft Sentinel za pośrednictwem agenta Linux Syslog.

  1. Przejdź do obszaru Zarządzanie łącznikami > danych.
  2. Kliknij kartę Konfiguracja docelowa u góry.
  3. Kliknij pozycję Utwórz > dziennik systemowy.
  • Nazwa: nadaj nowemu obiektowi docelowemu znaczącą nazwę, taką jak Microsoft-Sentinel-Destination.
  • Opis: opcjonalnie nadaj mu zrozumiały opis.
  • Stan: ustaw stan na Włączone.
  • Format: ustaw format na CEF.
  • Nazwa FQDN/IP: wprowadź adres IP urządzenia Linux, na którym zainstalowano agenta Linux.
  • Port: pozostaw numer portu na 514.
  • Protokół: wybierz żądany protokół i certyfikat urzędu certyfikacji, jeśli ma to zastosowanie.
  • Kliknij pozycję Zapisz & Zamknij.
  1. Kliknij kartę Konfiguracja przepływu ruchu u góry.
  2. Kliknij pozycję Utwórz.
  • Nazwa: nadaj nowej usłudze Traffic Flow znaczącą nazwę, taką jak Microsoft-Sentinel-Flow.
  • Opis: opcjonalnie nadaj mu zrozumiały opis.
  • Stan: ustaw stan na Włączone.
  • Rozwiń sekcję Wystąpienie usługi .
  • Wystąpienie usługi: wybierz żądane wystąpienie usługi, dla którego jest włączona usługa łącznika danych.
  • Rozwiń sekcję Konfiguracja źródła .
  • Źródło: wybierz pozycję BloxOne Cloud Source.
  • Wybierz typ dziennika powiadomień wewnętrznych .
  • Rozwiń sekcję Konfiguracja docelowa .
  • Wybierz właśnie utworzoną lokalizację docelową .
  • Kliknij pozycję Zapisz & Zamknij.
  1. Zezwalaj na aktywację konfiguracji.

C. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na komputerze

  • Uruchom następujące polecenie, aby zweryfikować łączność:: <wartość zmiennej podana w czasie instalacji>

**2. Zabezpieczanie maszyny **

Upewnij się, że skonfigurowano zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >



Łącznik danych usługi Infoblox SOC Insight za pośrednictwem interfejsu API REST

Obsługiwane przez:Infoblox

Łącznik danych infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
InfobloxInsight_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Klucze obszaru roboczego

Aby korzystać z podręczników w ramach tego rozwiązania, znajdź swój identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego poniżej, aby ułatwić sobie pracę.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Parsery

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami o nazwie InfobloxInsight, która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

SOC Insights

Ten łącznik danych zakłada, że masz dostęp do usługi Infoblox BloxOne Threat Defense SOC Insights. Więcej informacji na temat usługi SOC Insights można znaleźć tutaj.

Wykonaj poniższe kroki, aby skonfigurować ten łącznik danych

1. Wygeneruj klucz interfejsu API Infoblox i skopiuj go w bezpiecznym miejscu

W portalu infoblox Cloud Services wygeneruj klucz interfejsu API i skopiuj go w bezpiecznym miejscu w następnym kroku. Instrukcje dotyczące tworzenia kluczy interfejsu API można znaleźć tutaj.

2. Skonfiguruj podręcznik Infoblox-SOC-Get-Open-Insights-API

Utwórz i skonfiguruj podręcznik Infoblox-SOC-Get-Open-Insights-API wdrożony za pomocą tego rozwiązania. Po wyświetleniu monitu wprowadź klucz interfejsu API Infoblox w odpowiednim parametrze.



Łącznik danych InfoSecGlobal

Obsługiwane przez:InfoSecGlobal

Użyj tego łącznika danych, aby zintegrować się z usługą InfoSec Crypto Analytics i pobrać dane wysyłane bezpośrednio do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
InfoSecAnalytics_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Łącznik danych analizy kryptografii InfoSecGlobal

  1. Dane są wysyłane do Microsoft Sentinel za pośrednictwem usługi Logstash
  2. Wymagana konfiguracja usługi Logstash jest dołączona do instalacji usługi Crypto Analytics
  3. Dokumentacja dostarczona z instalacją usługi Crypto Analytics wyjaśnia, jak włączyć wysyłanie danych do Microsoft Sentinel
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Dzienniki zabezpieczeń IONIX (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:IONIX

Łącznik IONIX umożliwia pozyskiwanie elementów akcji z platformy IONIX Attack Surface Management do Microsoft Sentinel przy użyciu platformy Codeless Connector Framework (CCF). Elementy akcji reprezentują ustalenia zabezpieczeń i luki w zabezpieczeniach, które wymagają korygowania.

Ten łącznik automatycznie sonduje interfejs API IONIX i zapisuje dane w tabeli CyberpionActionItems_CL.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyberpionActionItems_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Token interfejsu API IONIX: wymagany jest token interfejsu API z portalu IONIX. Utwórz go w interfejsie API ustawień > w portalu IONIX.

Instrukcje dotyczące konfiguracji:

Łączenie usługi IONIX z Microsoft Sentinel

Ten łącznik używa interfejsu API IONIX do automatycznego sondowania elementów akcji i pozyskiwania ich do Microsoft Sentinel. Potrzebujesz tokenu interfejsu API z portalu IONIX.

  • Token interfejsu API IONIX: (Wprowadź token interfejsu API JWT z interfejsu API ustawień > IONIX)
  • Nazwa konta IONIX: (cyberpion)
  • Włączanie/wyłączanie połączenia



Łącznik danych nadużyć IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_abuse zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Abuse_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo ASN

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych standard_ASN i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_ASN_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych operatora IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_carrier zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Carrier_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych firmy IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych standard_company i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Company_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo Core

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych Core i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_CORE_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



IPinfo Country ASN Data Connector

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania country_asn zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Country_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych domeny IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_domain zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Domain_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych iplokacji IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych standard_location i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Location_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Rozszerzony łącznik danych IPinfo Iplocation

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_location_extended zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Location_extended_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo Plus

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych plus i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_PLUS_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych prywatności programu IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_privacy zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Privacy_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Rozszerzony łącznik danych ochrony prywatności aplikacji IPinfo

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_privacy zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_Privacy_extended_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo ResProxy

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych ResProxy i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_RESIDENTIAL_PROXY_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo RIRWHOIS

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych RIRWHOIS i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_RIRWHOIS_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo RWHOIS

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych RWHOIS i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_RWHOIS_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



IPinfo WHOIS ASN Data Connector

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_ASN zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_WHOIS_ASN_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo WHOIS MNT

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_MNT zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_WHOIS_MNT_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo WHOIS NET

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_NET zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_WHOIS_NET_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych organizacji IPinfo WHOIS

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_ORG zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_WHOIS_ORG_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik danych IPinfo WHOIS POC

Obsługiwane przez:IPinfo

Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych WHOIS_POC i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ipinfo_WHOIS_POC_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.

Instrukcje dotyczące konfiguracji:

1. Pobieranie tokenu interfejsu API

Pobierz token interfejsu API IPinfo tutaj.

2. W dzierżawie Azure AD utwórz aplikację Azure Active Directory (AAD)

W dzierżawie Azure AD utwórz aplikację usługi Azure Active Directory (AAD) i uzyskaj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: użyj tego linku.

3. Przypisz aplikacji usługi AAD rolę współautora Microsoft Sentinel.

Przypisz właśnie utworzoną aplikację usługi AAD do ról współautora (administratora uprzywilejowanego) i wydawcy metryk monitorowania (ról funkcji zadania) w tej samej "grupie zasobów", której używasz do "obszaru roboczego analitycznego dziennika", w którym dodano "Microsoft Sentinel": użyj tego linku.

4. Uzyskiwanie identyfikatora zasobu obszaru roboczego

Użyj bloku Obszar roboczy analityczny dziennika —> właściwości z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

5. Wdrażanie funkcji Azure

Służy do zautomatyzowanego wdrażania łącznika danych IPinfo przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.

Ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych IPinfo przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego Azure aplikacji funkcji.
  2. Utwórz aplikację funkcji przy użyciu planu Hosting Functions Premium lub App Service przy użyciu opcji zaawansowanej przy użyciu programu VSCode.
  3. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  4. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następujące kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz pozycję Nazwa aplikacji funkcji i wybierz pozycję Ustawienia —> konfiguracja lub zmienne środowiskowe.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOKALIZACJA HARMONOGRAMU
  5. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Island Enterprise Browser V2

Obsługiwane przez:Island

Łącznik danych island enterprise browser v2 umożliwia pozyskiwanie zdarzeń użytkownika, zdarzeń administratora i zdarzeń systemowych w ramach jednego łącznika.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Island_UserEvents_V2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Klucz interfejsu API wyspy: wymagany jest klucz interfejsu API wyspy. Generowanie klucza interfejsu API za pośrednictwem konsoli zarządzania wyspą. Aby uzyskać dalsze instrukcje, zapoznaj się z oficjalną dokumentacją wyspy.

Instrukcje dotyczące konfiguracji:

Połącz wyspę z Microsoft Sentinel

Adres URL interfejsu API i klucz interfejsu API są dostępne za pośrednictwem konsoli zarządzania wyspą. Aby uzyskać dalsze instrukcje, zapoznaj się z oficjalną dokumentacją wyspy.

  • Adres URL interfejsu API: (adres URL interfejsu API)
  • Klucz interfejsu API: (klucz)
  • Włączanie/wyłączanie połączenia



Jamf Protect Push Connector

Obsługiwane przez:Jamf Software, LLC

Łącznik Jamf Protect umożliwia odczytywanie nieprzetworzonych danych zdarzeń z narzędzia Jamf Protect w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
jamfprotecttelemetryv2_CL Tak Tak
jamfprotectunifiedlogs_CL Tak Tak
jamfprotectalerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik odczytuje dane z tabel używanych przez narzędzie Jamf Protect w obszarze roboczym usługi Microsoft Analytics, jeśli opcja przekazywania danych jest włączona w narzędziu Jamf Protect, nieprzetworzone dane zdarzeń są wysyłane do interfejsu API pozyskiwania danych Microsoft Sentinel.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Wypchnięcie dzienników do obszaru roboczego

Użyj następujących parametrów, aby skonfigurować maszynę do wysyłania dzienników do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Ujednolicona nazwa Stream dzienników: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream telemetrii: <wartość zmiennej podana w czasie instalacji>
  • Alerty Stream Name: <wartość zmiennej podana w czasie instalacji>



JoeSandboxThreatIntelligence (przy użyciu Azure Functions)

Obsługiwane przez:Stefan Bühlmann

Łącznik JoeSandboxThreatIntelligence automatycznie generuje i przesyła analizę zagrożeń dla wszystkich przesyłanych do JoeSandbox, poprawiając wykrywanie zagrożeń i reagowanie na zdarzenia w Sentinel. Ta bezproblemowa integracja umożliwia zespołom aktywne reagowanie na pojawiające się zagrożenia.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz interfejsu API JoeSandbox .

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, aby nawiązać połączenie z interfejsem API JoeSandbox, aby ściągnąć do Microsoft Sentinel interfejsy IOCs zagrożeń JoeSandbox. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM) dla planu flex consumption

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator aplikacji, identyfikator dzierżawy, klucz tajny klienta, klucz interfejsu API JoeSandbox, datę początkowego pobrania JoeSandbox, wartość TimeInterval i wdrożenie.

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — szablon Azure Resource Manager (ARM) dla planu Premium

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator aplikacji, identyfikator dzierżawy, klucz tajny klienta, klucz interfejsu API JoeSandbox, datę początkowego pobrania JoeSandbox, wartość TimeInterval i wdrożenie.

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Łącznik wypychania zabezpieczeń usługi Keeper

Obsługiwane przez:Keeper Security

Łącznik usługi Keeper Security umożliwia odczytywanie nieprzetworzonych danych zdarzeń z usługi Keeper Security w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
KeeperSecurityEventNewLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik odczytuje dane z tabel używanych przez usługę Keeper Security w obszarze roboczym usługi Microsoft Analytics, jeśli opcja przekazywania danych jest włączona w usłudze Keeper Security, nieprzetworzone dane zdarzeń są wysyłane do interfejsu API pozyskiwania danych Microsoft Sentinel.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Wypchnięcie dzienników do obszaru roboczego

Użyj następujących parametrów, aby skonfigurować maszynę do wysyłania dzienników do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki zdarzeń Stream nazwa: <wartość zmiennej podana w czasie instalacji>

3. Zaktualizuj konsolę Administracja keeper

Skonfiguruj konsolę usługi Keeper Administracja przy użyciu szczegółów połączenia Azure, aby umożliwić przekazywanie danych do Microsoft Sentinel.

Konfigurowanie dzienników monitora Azure w konsoli usługi Keeper Administracja

W konsoli Administracja Keeper zaloguj się jako administrator usługi Keeper. Następnie przejdź do obszaru Raportowanie alertów & i wybierz pozycję Azure Monitoruj dzienniki.

Podaj następujące informacje z kroku 2 powyżej do konsoli Administracja:

  • Azure identyfikator dzierżawy: można go znaleźć w obszarze "Subskrypcje" Azure.
  • Identyfikator aplikacji (klienta): znajduje się on na ekranie przeglądu rejestracji aplikacji (KeeperLogging)
  • Wartość klucza tajnego klienta: jest to wartość wpisu tajnego klienta z wpisów tajnych rejestracji aplikacji.
  • Adres URL punktu końcowego: jest to adres URL utworzony w następującym określonym formacie: https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

Aby złożyć adres URL punktu końcowego:

  • <Adres URL> kolekcji Pochodzi z kroku 2 powyżej
  • < >DCR_ID z reguły modułu zbierającego dane skopiuj wartość "Niezmienny identyfikator", np.dcr-xxxxxxx
  • Jest to nazwa tabeli utworzona przez Azure, np.Custom-KeeperSecurityEventNewLogs

    Przykład: https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01



    LastPass Enterprise — raportowanie (sondowanie CCF)

    Obsługiwane przez:The Collective Consulting

    Łącznik LastPass Enterprise zapewnia możliwość dzienników raportowania (inspekcji) lastpass w Microsoft Sentinel. Łącznik zapewnia wgląd w identyfikatory logowania i działania w usłudze LastPass (takie jak odczytywanie i usuwanie haseł).

    Tabele usługi Log Analytics:

    Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
    LastPassNativePoller_CL Tak Tak

    Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

    Wymagania wstępne:

    • LastPass API Key and CID: Wymagany jest klucz interfejsu API LastPass i identyfikator CID. Aby uzyskać więcej informacji, zobacz Interfejs API LastPass.

    Instrukcje dotyczące konfiguracji:

    Łączenie aplikacji LastPass Enterprise z Microsoft Sentinel

    Podaj klucz interfejsu API lastpass provisioning.



Łącznik wykrywania zagrożeń mobilnych usługi Lookout (za pośrednictwem platformy łączników bez kodu) (wersja zapoznawcza)

Obsługiwane przez:Lookout

Łącznik danych wykrywania zagrożeń mobilnych usługi Lookout zapewnia możliwość pozyskiwania zdarzeń związanych z zagrożeniami bezpieczeństwa urządzeń przenośnych do Microsoft Sentinel za pośrednictwem interfejsu API ryzyka dla urządzeń przenośnych. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Ten łącznik ułatwia badanie potencjalnych zagrożeń bezpieczeństwa wykrytych na urządzeniach przenośnych.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
LookoutMtdV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie łącznika usługi Lookout Mobile Threat Defense z usługą Microsoft Sentinel

Przed nawiązaniem połączenia z usługą Lookout upewnij się, że zostały spełnione następujące wymagania wstępne.

  1. Klucz ApiKey jest wymagany dla interfejsu API wykrywania zagrożeń mobilnych. Zapoznaj się z dokumentacją , aby dowiedzieć się więcej o interfejsie API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
  • Klucz interfejsu API: (Wprowadź klucz interfejsu API )
  • Włączanie/wyłączanie połączenia



Luminarne IOCs i nieszczelne poświadczenia (przy użyciu Azure Functions)

Obsługiwane przez:Cognyte Luminar

Łącznik Luminar IOCs i Leaked Credentials umożliwia integrację danych IOC opartych na analizie i ujawnionych rekordów związanych z klientami zidentyfikowanych przez Luminar.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator klienta Luminar, wpis tajny klienta Luminar i identyfikator konta Luminar .

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, aby nawiązać połączenie z interfejsem API Cognyte Luminar w celu pobrania do Microsoft Sentinel luminarnych operacji we/wy i nieszczelnych poświadczeń. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator aplikacji, identyfikator dzierżawy, klucz tajny klienta, identyfikator klienta interfejsu API Luminar, identyfikator konta interfejsu API Luminar, wpis tajny klienta interfejsu API Luminar, Limit, TimeInterval i wdrożenie.

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Poniższe instrukcje krok po kroku umożliwiają ręczne wdrożenie łącznika danych Cognyte Luminar przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. CognyteLuminarXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (uwzględniana wielkość liter): Identyfikator dzierżawy identyfikatora aplikacji Identyfikator klienta secret Luminar API Client ID Luminar API Account ID Luminar API Client Secret Limit TimeInterval — użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:https://<CustomerId>.ods.opinsights.azure.us

  12. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



MailGuard 365

Obsługiwane przez:MailGuard 365

MailGuard 365 Enhanced Email Security for Microsoft 365.MailGuard 365 Enhanced Email Security for Microsoft 365 (Rozszerzone zabezpieczenia Email Dla platformy Microsoft 365). Oprócz platformy handlowej firmy Microsoft usługa MailGuard 365 jest zintegrowana z zabezpieczeniami platformy Microsoft 365 (wraz z usługą Defender) w celu zwiększenia ochrony przed zaawansowanymi zagrożeniami poczty e-mail, takimi jak wyłudzanie informacji, oprogramowanie wymuszające okup i zaawansowane ataki BEC.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MailGuard365_Threats_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Konfigurowanie i łączenie usługi MailGuard 365

  1. W konsoli MailGuard 365 kliknij pozycję Ustawienia na pasku nawigacyjnym.
  2. Kliknij kartę Integracje .
  3. Kliknij pozycję Włącz Microsoft Sentinel.
  4. Wprowadź identyfikator obszaru roboczego i klucz podstawowy z poniższych pól, kliknij przycisk Zakończ.
  5. Aby uzyskać dodatkowe instrukcje, skontaktuj się z pomocą techniczną aplikacji MailGuard 365.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



MailRisk by Secure Practice

Obsługiwane przez:Secure Practice

Łącznik MailRisk by Secure Practice umożliwia pozyskiwanie danych analizy zagrożeń poczty e-mail z interfejsu API MailRisk do Microsoft Sentinel. Ten łącznik zapewnia wgląd w zgłoszone wiadomości e-mail, oceny ryzyka i zdarzenia zabezpieczeń związane z zagrożeniami poczty e-mail.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MailRiskEventEmails_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia interfejsu API: Wymagana jest również para kluczy interfejsu API bezpiecznej praktyki, która jest tworzona w ustawieniach w portalu administracyjnym. Wygeneruj nową parę kluczy z opisem Microsoft Sentinel.

Instrukcje dotyczące konfiguracji:

1. Uzyskiwanie poświadczeń interfejsu API bezpiecznej praktyki

Zaloguj się do konta bezpiecznej praktyki i wygeneruj klucz interfejsu API i klucz tajny interfejsu API, jeśli jeszcze tego nie zrobiono.

2. Nawiązywanie połączenia z interfejsem API mailrisk

Wprowadź poniżej poświadczenia interfejsu API bezpiecznej praktyki. Poświadczenia będą bezpiecznie przechowywane i używane do uwierzytelniania żądań interfejsu API.

  • Klucz interfejsu API: (Wprowadź klucz interfejsu API bezpiecznej praktyki)
  • Wpis tajny interfejsu API: (wprowadź wpis tajny interfejsu API bezpiecznej praktyki)
  • Włączanie/wyłączanie połączenia



meshStack — dzienniki zdarzeń

Obsługiwane przez:meshcloud GmbH

Łącznik meshStack Event Logs umożliwia pozyskiwanie zdarzeń platformy meshStack do Microsoft Sentinel. Łącząc dzienniki zdarzeń meshStack z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia niestandardowych alertów oraz ulepszać proces badania ładu, inspekcji i monitorowania zgodności platformy w chmurze.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
meshStackEventLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • meshStack OAuth2 API Key: Wymagany jest prawidłowy klucz interfejsu API meshStack z uprawnieniem "Administracja: lista dzienników zdarzeń w dowolnym obszarze roboczym". Utwórz klucz interfejsu API w panelu Administracja meshStack w obszarze kluczy interfejsu API Access Control>. Klucz interfejsu API udostępnia poświadczenia OAuth2 (identyfikator klucza jako client_id i klucz tajny klucza jako client_secret) na potrzeby uwierzytelniania. Uwaga: klucz interfejsu API jest powiązany z obszarem roboczym, ale może uzyskiwać dostęp do zdarzeń ze wszystkich obszarów roboczych.
  • meshStack Instance: dostęp do wystąpienia meshStack z włączonym interfejsem API zdarzeń.

Instrukcje dotyczące konfiguracji:

Łączenie dzienników zdarzeń meshStack z Microsoft Sentinel

Wprowadź adres URL interfejsu API wystąpienia usługi meshStack i poświadczenia OAuth2 z klucza interfejsu API. Format adresu URL interfejsu API powinien być następujący: https://your-meshstack-instance.io. Utwórz klucz interfejsu API w usłudze meshStack (Administracja Panel > Access Control > klucze interfejsu API) z uprawnieniem "Administracja: Lista dzienników zdarzeń w dowolnym obszarze roboczym". Klucz interfejsu API udostępnia identyfikator klucza (client_id) i klucz tajny klucza (client_secret) na potrzeby uwierzytelniania OAuth2.

  • Adres URL interfejsu API meshStack: (https://your-meshstack-instance.io)
  • Identyfikator klienta (identyfikator klucza): (Wprowadź identyfikator klucza z klucza interfejsu API)
  • Klucz tajny klienta (klucz tajny): (wprowadź klucz tajny z klucza interfejsu API)
  • Włączanie/wyłączanie połączenia



Microsoft 365 (dawniej Office 365)

Obsługiwane przez:Microsoft Corporation

Łącznik dziennika aktywności platformy Microsoft 365 (dawniej Office 365) zapewnia wgląd w bieżące działania użytkowników. Zostaną wyświetlone szczegółowe informacje o operacjach, takich jak pobieranie plików, wysyłane żądania dostępu, zmiany zdarzeń grupy, skrzynka pocztowa i szczegóły użytkownika, który wykonał akcje. Łącząc dzienniki platformy Microsoft 365 z usługą Microsoft Sentinel możesz użyć tych danych do wyświetlania pulpitów nawigacyjnych, tworzenia niestandardowych alertów i ulepszania procesu badania. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OfficeActivity Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft 365 Insider Risk Management

Obsługiwane przez:Microsoft Corporation

Rozwiązanie Microsoft 365 Insider Risk Management to rozwiązanie do zapewniania zgodności w usłudze Microsoft 365, które pomaga zminimalizować ryzyko wewnętrzne, umożliwiając wykrywanie, badanie i działanie na złośliwych i niezamierzonych działaniach w organizacji. Analitycy ryzyka w organizacji mogą szybko podjąć odpowiednie działania, aby upewnić się, że użytkownicy są zgodni ze standardami zgodności organizacji.

Zasady ryzyka dotyczącego informacji poufnych umożliwiają:

  • zdefiniuj typy zagrożeń, które chcesz zidentyfikować i wykryć w organizacji.
  • zdecyduj, jakie działania należy podjąć w odpowiedzi, w tym w razie potrzeby eskalować sprawy do firmy Microsoft Advanced eDiscovery.

To rozwiązanie generuje alerty, które mogą być widoczne dla klientów pakietu Office w rozwiązaniu Insider Risk Management w Centrum zgodności platformy Microsoft 365. Dowiedz się więcej na temat zarządzania ryzykiem wewnętrznym.

Te alerty można zaimportować do Microsoft Sentinel za pomocą tego łącznika, co umożliwia wyświetlanie, badanie i reagowanie na nie w szerszym kontekście zagrożeń organizacyjnych. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Dzienniki zdarzeń zabezpieczeń kontrolerów domeny firmy Microsoft Active-Directory

Obsługiwane przez:Community

[Opcja 3 & 4] — za pomocą agenta Azure Monitor można przesyłać strumieniowo część lub wszystkie dzienniki zdarzeń zabezpieczeń kontrolerów domeny z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityEvent Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

Ten łącznik danych jest opcją 3 i 4 witryny typu wiki.

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny Wdróż agenta Azure Arc Dowiedz się więcej

Dzienniki zabezpieczeń kontrolerów domeny

Wybierz sposób przesyłania strumieniowego dzienników zabezpieczeń kontrolerów domeny. Jeśli chcesz zaimplementować opcję 3, wystarczy wybrać kontroler domeny w tej samej lokacji co serwery exchange. Jeśli chcesz zaimplementować opcję 4, możesz wybrać wszystkie kontrolery domeny lasu.

[Opcja 3] Wyświetl listę tylko kontrolerów domeny w tej samej lokacji co serwery exchange do następnego kroku

Ogranicza to ilość pozyskanych danych, ale nie można wykryć niektórych zdarzeń.

[Opcja 4] Wyświetl listę wszystkich kontrolerów domeny lasu Active-Directory do następnego kroku

Umożliwia to zbieranie wszystkich zdarzeń zabezpieczeń

Zbieranie dzienników zdarzeń zabezpieczeń

Reguły zbierania danych — dzienniki zdarzeń zabezpieczeń

Włącz regułę zbierania danych dla dzienników zabezpieczeń Dzienniki zabezpieczeń Dzienniki zdarzeń zabezpieczeń są zbierane tylko z agentów systemu Windows .

  1. Dodaj wybrane kontrolery domeny na karcie Zasoby .
  2. Wybierz poziom dziennika zabezpieczeń

Typowy poziom to wymagane minimum. Wybierz pozycję "Typowe" lub "Wszystkie zdarzenia zabezpieczeń" w definicji dcr.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>



Microsoft Copilot

Obsługiwane przez:Microsoft

Łącznik dzienników Microsoft Copilot w Microsoft Sentinel umożliwia bezproblemowe pozyskiwanie dzienników aktywności generowanych przez rozwiązania Copilot z rozwiązania M365 Copilot i Security Copilot do Microsoft Sentinel na potrzeby zaawansowanego wykrywania zagrożeń, badania i reagowania. Zbiera dane telemetryczne z usług Microsoft Copilot, takich jak dane użycia i odpowiedzi systemowe i pozyskiwanie do Microsoft Sentinel, co umożliwia zespołom ds. zabezpieczeń monitorowanie pod kątem nieprawidłowego użycia, wykrywanie anomalii i utrzymywanie zgodności z zasadami organizacji.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CopilotActivity Nie Tak

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.

Instrukcje dotyczące konfiguracji:

Łączenie dzienników inspekcji Microsoft Copilot z Microsoft Sentinel

Ten łącznik używa interfejsu API zarządzania pakietu Office do pobierania dzienników inspekcji Microsoft Copilot. Dzienniki będą przechowywane i przetwarzane w istniejącym obszarze roboczym Microsoft Sentinel. Dane można znaleźć w tabeli CopilotActivity .

  • Włączanie/wyłączanie połączenia



Microsoft Dataverse

Obsługiwane przez:Microsoft Corporation

Microsoft Dataverse to skalowalna i bezpieczna platforma danych, która umożliwia organizacjom przechowywanie danych używanych przez aplikacje biznesowe i zarządzanie nimi. Łącznik danych usługi Microsoft Dataverse umożliwia pozyskiwanie dzienników aktywności usługi Dataverse i Dynamics 365 CRM z Inspekcja w Microsoft Purview logowania do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
DataverseActivity Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
  • Inspekcja usługi Micorosft Purview: należy aktywować Inspekcja w Microsoft Purview (Standardowa lub Premium).
  • Production Dataverse: Rejestrowanie aktywności jest dostępne tylko w środowiskach produkcyjnych. Inne typy, takie jak piaskownica, nie obsługują rejestrowania aktywności.
  • Ustawienia inspekcji usługi Dataverse: ustawienia inspekcji należy skonfigurować zarówno globalnie, jak i na poziomie jednostki/tabeli. Aby uzyskać więcej informacji, zobacz Ustawienia inspekcji usługi Dataverse.

Instrukcje dotyczące konfiguracji:

Łączenie dzienników inspekcji usługi Microsoft Dataverse z Microsoft Sentinel

Ten łącznik używa interfejsu API zarządzania pakietu Office do pobierania dzienników inspekcji usługi Dataverse. Dzienniki będą przechowywane i przetwarzane w istniejącym obszarze roboczym Microsoft Sentinel. Dane można znaleźć w tabeli DataverseActivity .

  • Włączanie/wyłączanie połączenia



Microsoft Defender for Cloud Apps

Obsługiwane przez:Microsoft Corporation

Łącząc się z Microsoft Defender for Cloud Apps uzyskasz wgląd w aplikacje w chmurze, uzyskasz zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych.

  • Identyfikowanie aplikacji w chmurze IT w tle w sieci.
  • Kontrolowanie i ograniczanie dostępu na podstawie warunków i kontekstu sesji.
  • Używaj wbudowanych lub niestandardowych zasad do udostępniania danych i zapobiegania utracie danych.
  • Identyfikowanie użycia wysokiego ryzyka i uzyskiwanie alertów dotyczących nietypowych działań użytkowników za pomocą analizy behawioralnej i możliwości wykrywania anomalii firmy Microsoft, w tym działań wymuszających okup, niemożliwych podróży, podejrzanych reguł przekazywania wiadomości e-mail i masowego pobierania plików.
  • Masowe pobieranie plików

Wdróż teraz >

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert​ Nie Nie
McasShadowItReporting​ Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Ochrona punktu końcowego w usłudze Microsoft Defender

Obsługiwane przez:Microsoft Corporation

Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń przeznaczona do zapobiegania zaawansowanym zagrożeniom, wykrywania ich, badania i reagowania na nie. Platforma tworzy alerty, gdy podejrzane zdarzenia zabezpieczeń są widoczne w organizacji. Pobierz alerty wygenerowane w Ochrona punktu końcowego w usłudze Microsoft Defender, aby Microsoft Sentinel, aby można było efektywnie analizować zdarzenia zabezpieczeń. Możesz tworzyć reguły, tworzyć pulpity nawigacyjne i tworzyć podręczniki w celu natychmiastowej reakcji. Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Defender for Identity

Obsługiwane przez:Microsoft Corporation

Połącz Microsoft Defender for Identity, aby uzyskać wgląd w zdarzenia i analizę użytkowników. Microsoft Defender for Identity identyfikuje, wykrywa i ułatwia badanie zaawansowanych zagrożeń, tożsamości z naruszeniem zabezpieczeń i złośliwych akcji wewnętrznych skierowanych do organizacji. Microsoft Defender for Identity umożliwia analitykom secop i specjalistom ds. zabezpieczeń wykrywanie zaawansowanych ataków w środowiskach hybrydowych w celu:

  • Monitorowanie użytkowników, zachowania jednostek i działań za pomocą analizy opartej na uczeniu
  • Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory
  • Identyfikowanie i badanie podejrzanych działań użytkowników i zaawansowanych ataków w całym łańcuchu zabójstw
  • Zapewnianie jasnych informacji o zdarzeniach na prostej osi czasu na potrzeby szybkiej klasyfikacji

Wypróbuj teraz >

Wdróż teraz >

Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Defender dla IoT

Obsługiwane przez:Microsoft Corporation

Uzyskaj wgląd w zabezpieczenia IoT, łącząc Microsoft Defender alertów IoT z Microsoft Sentinel. Możesz uzyskać wbudowane metryki alertów i dane, w tym trendy alertów, najważniejsze alerty i podział alertów według ważności. Możesz również uzyskać informacje o zaleceniach dla centrów IoT, w tym najważniejsze zalecenia i zalecenia według ważności. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Defender dla Office 365 (wersja zapoznawcza)

Obsługiwane przez:Microsoft Corporation

Microsoft Defender dla Office 365 chroni organizację przed złośliwymi zagrożeniami, jakie stwarzają wiadomości e-mail, linki (adresy URL) i narzędzia do współpracy. Pozyskując Microsoft Defender dla alertów Office 365 do Microsoft Sentinel, możesz włączyć informacje o zagrożeniach opartych na wiadomościach e-mail i adresach URL do szerszej analizy ryzyka i odpowiednio utworzyć scenariusze reagowania.

Zostaną zaimportowane następujące typy alertów:

  • Wykryto potencjalnie złośliwe kliknięcie adresu URL
  • Email komunikaty zawierające złośliwe oprogramowanie usunięte po dostarczeniu
  • Email wiadomości zawierające adresy URL języka phish usunięte po dostarczeniu
  • Email zgłaszane przez użytkownika jako złośliwe oprogramowanie lub phish
  • Wykryto podejrzane wzorce wysyłania wiadomości e-mail
  • Użytkownik nie może wysyłać wiadomości e-mail

Te alerty mogą być widoczne dla klientów pakietu Office w ** Centrum zabezpieczeń i zgodności pakietu Office**.

Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Defender Threat Intelligence

Obsługiwane przez:Microsoft Corporation

Microsoft Sentinel zapewnia możliwość importowania analizy zagrożeń wygenerowanej przez firmę Microsoft w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń. Użyj tego łącznika danych, aby zaimportować wskaźniki naruszenia zabezpieczeń (IOCs) z Microsoft Defender Threat Intelligence (MDTI) do Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików itp.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Defender XDR

Obsługiwane przez:Microsoft Corporation

Microsoft Defender XDR to ujednolicony, natywnie zintegrowany, przed i po naruszeniu zabezpieczeń pakiet ochrony przedsiębiorstwa, który chroni punkt końcowy, tożsamość, pocztę e-mail i aplikacje oraz pomaga wykrywać, zapobiegać, badać i automatycznie reagować na zaawansowane zagrożenia.

pakiet Microsoft Defender XDR obejmuje:

  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Microsoft Defender for Identity
  • Ochrona usługi Office 365 w usłudze Microsoft Defender
  • Zarządzanie lukami w zabezpieczeniach & zagrożeń
  • Microsoft Defender for Cloud Apps

Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityIncident Tak Tak
SecurityAlert Tak Tak
DeviceEvents Tak Tak
EmailEvents Tak Tak
IdentityLogonEvents Tak Tak
CloudAppEvents Tak Tak
AlertEvidence Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Entra ID

Obsługiwane przez:Microsoft Corporation

Uzyskaj wgląd w Microsoft Entra ID, łącząc dzienniki inspekcji i logowania z Microsoft Sentinel w celu zebrania szczegółowych informacji na temat Microsoft Entra ID scenariuszy. Informacje o użyciu aplikacji, zasadach dostępu warunkowego, starszych uwierzytelnianiach związanych ze szczegółami można znaleźć w naszych dziennikach logowania. Informacje na temat użycia samoobsługowego resetowania haseł (samoobsługowego resetowania haseł), Microsoft Entra ID działania zarządzania, takie jak użytkownik, grupa, rola, zarządzanie aplikacjami, można znaleźć w tabeli Dzienniki inspekcji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SigninLogs Tak Tak
AuditLogs Tak Tak
AADNonInteractiveUserSignInLogs Tak Tak
AADServicePrincipalSignInLogs Tak Tak
AADManagedIdentitySignInLogs Tak Tak
AADProvisioningLogs Tak Tak
ADFSSignInLogs Tak Tak
AADUserRiskEvents Tak Tak
AADRiskyUsers Tak Tak
NetworkAccessTraffic Tak Tak
AADRiskyServicePrincipals Tak Tak
AADServicePrincipalRiskEvents Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

zasoby Microsoft Entra ID

Obsługiwane przez:Microsoft Corporation

Entra łącznik danych zasobów identyfikatora zapewnia bardziej szczegółowe informacje na temat danych aktywności, uzupełniając szczegóły informacjami o zasobach. Dane z tego łącznika służą do tworzenia wykresów ryzyka danych w usłudze Purview. Jeśli te grafy zostały włączone, dezaktywacja tego łącznika uniemożliwi kompilowanie grafów. Dowiedz się więcej o grafie ryzyka związanego z danymi.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:



ochrona Microsoft Entra ID

Obsługiwane przez:Microsoft Corporation

Ochrona Microsoft Entra ID zapewnia skonsolidowany widok narażonych użytkowników, zdarzeń o podwyższonym ryzyku i luk w zabezpieczeniach, z możliwością natychmiastowego korygowania ryzyka i ustawiania zasad automatycznego korygowania przyszłych zdarzeń. Usługa jest oparta na doświadczeniu firmy Microsoft w zakresie ochrony tożsamości konsumentów i zyskuje ogromną dokładność dzięki sygnałowi z ponad 13 miliardów logowań dziennie. Zintegruj alerty usługi Microsoft Ochrona Microsoft Entra ID z Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe i ulepszać badania. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel .

Uzyskiwanie Microsoft Entra ID Premium P1/P2

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Dzienniki inspekcji programu Microsoft Exchange Administracja według dzienników zdarzeń

Obsługiwane przez:Community

[Opcja 1] — używanie agenta Azure Monitor — możesz przesyłać strumieniowo wszystkie zdarzenia inspekcji programu Exchange z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Jest to używane przez skoroszyty zabezpieczeń programu Microsoft Exchange w celu zapewnienia szczegółowych informacji o zabezpieczeniach środowiska lokalnego programu Exchange

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Event Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

Ten łącznik danych jest opcją 1 witryny typu wiki.

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny Wdróż agenta Azure Arc Dowiedz się więcej

2. [Opcja 1] Zbieranie dzienników zarządzania ms exchange — ms exchange Administracja dzienniki zdarzeń inspekcji według reguł zbierania danych

Dzienniki zdarzeń inspekcji programu MS Exchange Administracja są zbierane przy użyciu reguł zbierania danych (DCR) i umożliwiają przechowywanie wszystkich administracyjnych poleceń cmdlet wykonywanych w środowisku programu Exchange.

DCR

Wdrażanie reguł zbierania danych

Włącz regułę zbierania danych Microsoft Exchange Administracja dzienniki zdarzeń inspekcji są zbierane tylko od agentów systemu Windows.

Opcja 1 — szablon Azure Resource Manager (ARM) (preferowany)

Ta metoda służy do zautomatyzowanego wdrażania dcr.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź nazwę obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie dcr, typ dziennika zdarzeń

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola, Wybierz system Windows jako typ platformy i nadaj nazwę dcr.
  4. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  5. W obszarze "Zbieraj i dostarczaj" dodaj typ źródła danych "Dzienniki zdarzeń systemu Windows" i wybierz opcję "Niestandardowe", wprowadź wyrażenie "ZARZĄDZANIE MSExchange" i Dodaj.
  6. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Analizatory są automatycznie wdrażane za pomocą rozwiązania. Wykonaj kroki, aby utworzyć alias usługi Kusto Functions: ExchangeAdminAuditLogs

Analizatory są wdrażane automatycznie podczas wdrażania rozwiązania. Jeśli chcesz wdrożyć ręcznie, wykonaj poniższe kroki

Ręczne wdrażanie analizatora

1. Pobierz plik analizatora

Najnowsza wersja pliku ExchangeAdminAuditLogs

2. Tworzenie funkcji Parser ExchangeAdminAuditLogs

W eksploratorze dzienników analizy dzienników Microsoft Sentinel skopiuj zawartość pliku do Eksploratora dzienników

3. Zapisz funkcję Parser ExchangeAdminAuditLogs

Kliknij przycisk Zapisz. Dla tego analizatora nie jest wymagany żaden parametr. Kliknij ponownie pozycję Zapisz.



Dzienniki serwera proxy HTTP programu Microsoft Exchange

Obsługiwane przez:Community

[Opcja 7] — używanie agenta Azure Monitor — dzienniki serwera proxy HTTP i dzienniki zdarzeń zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania. Dowiedz się więcej

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ExchangeHttpProxy_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics zostanie wycofana: Azure usługa Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

Ten łącznik danych jest opcją 7 witryny typu wiki.

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny Wdróż agenta Azure Arc Dowiedz się więcej

2. [Opcja 7] Serwer proxy HTTP serwerów Exchange

Wybieranie sposobu przesyłania strumieniowego serwera proxy HTTP serwerów exchange

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz śledzenie komunikatów reguły zbierania danych są zbierane tylko z agentów systemu Windows .

Opcja 1 — szablon Azure Resource Manager (ARM) (preferowana metoda)

Ta metoda służy do zautomatyzowanego wdrażania DCE i DCR.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Możesz zmienić proponowaną nazwę DCE.

  4. Kliknij pozycję Utwórz , aby wdrożyć.

B. Wdrażanie reguły połączenia danych

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Tworzenie tabeli niestandardowej — wyjaśnienie

Nie można utworzyć tabeli niestandardowej przy użyciu portalu Azure. Musisz użyć szablonu usługi ARM, skryptu programu PowerShell lub innej metody opisanej tutaj.

Tworzenie tabeli niestandardowej przy użyciu szablonu usługi ARM

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów, lokalizację i nazwę obszaru roboczego analitycznego.

  3. Kliknij pozycję Utwórz , aby wdrożyć.

Tworzenie tabeli niestandardowej przy użyciu programu PowerShell w Cloud Shell

  1. W portalu Azure otwórz Cloud Shell.
  2. Skopiuj i wklej i wykonaj następujący skrypt w Cloud Shell, aby utworzyć tabelę. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } } } } ' @
  3. Skopiuj, zastąp, wklej i wykonaj następujące parametry własnymi wartościami: $SubscriptionID = "YourGUID" $ResourceGroupName = "YourResourceGroupName" $WorkspaceName = "YourWorkspaceName"
  4. Wykonaj następujące polecenie cmdlet, aby utworzyć tabelę: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. W portalu Azure przejdź do punktu końcowego zbierania danych Azure.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę DCE.
  4. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Tworzenie dcr, wpisz dziennik niestandardowy

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij przycisk "Utwórz".
  3. Na karcie "Podstawy" wypełnij nazwę reguły, taką jak DCR-Option7-HTTPProxyLogs, wybierz pozycję "Punkt końcowy zbierania danych" z wcześniej utworzonym punktem końcowym i wypełnij inne parametry.
  4. Na karcie Zasoby dodaj serwery programu Exchange.
  5. W obszarze Zbieranie i dostarczanie dodaj typ źródła danych "Niestandardowe dzienniki tekstowe" i wprowadź następujący wzorzec pliku: "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log",C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
  6. W polu Nazwa tabeli umieść ciąg "ExchangeHttpProxy_CL".
  7. W polu Przekształć wprowadź następujące żądanie KQL: source | extend d = split(RawData,',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3)]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostring (d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d [17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20])) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[23])24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[4)2]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring((d[45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53])) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[55])56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[66]8]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime i kliknij pozycję "Destination".
  8. W obszarze "Miejsce docelowe" dodaj miejsce docelowe i wybierz obszar roboczy, w którym wcześniej utworzono tabelę niestandardową
  9. Kliknij pozycję "Dodaj źródło danych".
  10. Wypełnij inne wymagane parametry i tagi i utwórz dcr

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY



Dzienniki i zdarzenia programu Microsoft Exchange

Obsługiwane przez:Community

[Opcja 2] — za pomocą agenta monitora Azure — możesz przesyłać strumieniowo wszystkie dzienniki zdarzeń aplikacji programu Exchange Security & z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Event Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics zostanie wycofana: Azure usługa Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

Ten łącznik danych jest opcją 2 witryny typu wiki.

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny Wdróż agenta Azure Arc Dowiedz się więcej

2. [Opcja 2] Dzienniki zabezpieczeń/aplikacji/systemu serwerów exchange

Dzienniki zabezpieczeń/aplikacji/systemu serwerów programu Exchange są zbierane przy użyciu reguł zbierania danych (DCR).

Zbieranie dzienników zdarzeń zabezpieczeń

Reguły zbierania danych — dzienniki zdarzeń zabezpieczeń

Włącz regułę zbierania danych dla dzienników zabezpieczeń Dzienniki zabezpieczeń Dzienniki zdarzeń zabezpieczeń są zbierane tylko z agentów systemu Windows .

  1. Dodaj serwery exchange na karcie Zasoby .
  2. Wybierz poziom dziennika zabezpieczeń

Typowy poziom to wymagane minimum. Wybierz pozycję "Typowe" lub "Wszystkie zdarzenia zabezpieczeń" w definicji dcr.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Zbieranie dzienników zdarzeń aplikacji i systemu

Włączanie reguły zbierania danych

Dzienniki zdarzeń aplikacji i systemu są zbierane tylko z agentów systemu Windows .

Opcja 1 — szablon Azure Resource Manager (ARM) (metoda Prefered)

Ta metoda służy do zautomatyzowanego wdrażania dcr.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź nazwę obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie dcr, typ dziennika zdarzeń

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola, Wybierz system Windows jako typ platformy i nadaj nazwę dcr.
  4. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  5. W obszarze "Zbieraj i dostarczaj" dodaj typ źródła danych "Dzienniki zdarzeń systemu Windows" i wybierz opcję "Podstawowe".
  6. W obszarze Aplikacja wybierz pozycje "Krytyczne", "Błąd" i "Ostrzeżenie". W obszarze System wybierz pozycję Krytyczne/Błąd/Ostrzeżenie/Informacje.
  7. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY



Dzienniki śledzenia komunikatów programu Microsoft Exchange

Obsługiwane przez:Community

[Opcja 6] — korzystanie z agenta Azure Monitor — możesz przesyłać strumieniowo wszystkie komunikaty programu Exchange z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. Te dzienniki mogą służyć do śledzenia przepływu komunikatów w środowisku programu Exchange. Ten łącznik danych jest oparty na opcji 6 witryny typu wiki programu Microsoft Exchange Security.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MessageTrackingLog_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics zostanie wycofana: Azure usługa Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

Ten łącznik danych jest opcją 6 witryny typu wiki.

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny Wdróż agenta Azure Arc Dowiedz się więcej

2. Śledzenie komunikatów serwerów Exchange

Wybieranie sposobu przesyłania strumieniowego śledzenia komunikatów serwerów Exchange

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz śledzenie komunikatów reguły zbierania danych są zbierane tylko z agentów systemu Windows .

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania DCE i DCR.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Możesz zmienić proponowaną nazwę DCE.

  4. Kliknij pozycję Utwórz , aby wdrożyć.

B. Wdrażanie reguły połączenia danych i tabeli niestandardowej

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Tworzenie tabeli niestandardowej — wyjaśnienie

Nie można utworzyć tabeli niestandardowej przy użyciu portalu Azure. Musisz użyć szablonu usługi ARM, skryptu programu PowerShell lub innej metody opisanej tutaj.

Tworzenie tabeli niestandardowej przy użyciu szablonu usługi ARM

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów, lokalizację i nazwę obszaru roboczego analitycznego.

  3. Kliknij pozycję Utwórz , aby wdrożyć.

Tworzenie tabeli niestandardowej przy użyciu programu PowerShell w Cloud Shell

  1. W portalu Azure otwórz Cloud Shell.
  2. Skopiuj i wklej i wykonaj następujący skrypt w Cloud Shell, aby utworzyć tabelę. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } ] } } } ' @
  3. Skopiuj, zastąp, wklej i wykonaj następujące parametry własnymi wartościami: $SubscriptionID = "YourGUID" $ResourceGroupName = "YourResourceGroupName" $WorkspaceName = "YourWorkspaceName"
  4. Wykonaj następujące polecenie cmdlet, aby utworzyć tabelę: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. W portalu Azure przejdź do punktu końcowego zbierania danych Azure.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę DCE, na przykład ESI-ExchangeServers.
  4. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Tworzenie dcr, wpisz dziennik niestandardowy

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij przycisk "Utwórz".
  3. Na karcie "Podstawy" wypełnij nazwę reguły, taką jak DCR-Option6-MessageTrackingLogs, wybierz pozycję "Punkt końcowy zbierania danych" z wcześniej utworzonym punktem końcowym i wypełnij inne parametry.
  4. Na karcie Zasoby dodaj serwery programu Exchange.
  5. W obszarze Zbieranie i dostarczanie dodaj typ źródła danych "Niestandardowe dzienniki tekstowe" i wprowadź ciąg "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" we wzorcu pliku "MessageTrackingLog_CL" w polu Nazwa tabeli. 6.in Pole przekształcenia wprowadź następujące żądanie KQL: źródło | extend d = split(RawData,',') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source=tostring((d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[[17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d [24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData i kliknij pozycję "Miejsce docelowe".
  6. W obszarze "Miejsce docelowe" dodaj miejsce docelowe i wybierz obszar roboczy, w którym wcześniej utworzono tabelę niestandardową
  7. Kliknij pozycję "Dodaj źródło danych".
  8. Wypełnij inne wymagane parametry i tagi i utwórz dcr

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY



Microsoft Power Automate

Obsługiwane przez:Microsoft Corporation

Power Automate to usługa firmy Microsoft, która ułatwia użytkownikom tworzenie zautomatyzowanych przepływów pracy między aplikacjami i usługami w celu synchronizowania plików, otrzymywania powiadomień, zbierania danych i nie tylko. Upraszcza automatyzację zadań, zwiększając wydajność dzięki zmniejszeniu liczby zadań ręcznych, powtarzalnych i zwiększających produktywność. Łącznik danych usługi Power Automate umożliwia pozyskiwanie dzienników aktywności usługi Power Automate z Inspekcja w Microsoft Purview logowania do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PowerAutomateActivity Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
  • Inspekcja usługi Micorosft Purview: należy aktywować Inspekcja w Microsoft Purview (Standardowa lub Premium).

Instrukcje dotyczące konfiguracji:

Łączenie dzienników inspekcji Microsoft Power Automate z Microsoft Sentinel

Ten łącznik używa interfejsu API zarządzania pakietu Office do pobierania dzienników inspekcji usługi Power Automate. Dzienniki będą przechowywane i przetwarzane w istniejącym obszarze roboczym Microsoft Sentinel. Dane można znaleźć w tabeli PowerAutomateActivity .

  • Włączanie/wyłączanie połączenia



Działanie Administracja platformy Microsoft Power Platform

Obsługiwane przez:Microsoft Corporation

Microsoft Power Platform to pakiet o niskim kodzie/braku kodu, który umożliwia deweloperom zarówno obywatelom, jak i profesjonalnym usprawnienie procesów biznesowych poprzez umożliwienie tworzenia niestandardowych aplikacji, automatyzacji przepływów pracy i analizy danych przy minimalnym kodowaniu. Łącznik danych usługi Power Platform Administracja zapewnia możliwość pozyskiwania dzienników aktywności administratora platformy Power Platform z Inspekcja w Microsoft Purview logowania do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PowerPlatformAdminActivity Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
  • Inspekcja usługi Micorosft Purview: należy aktywować Inspekcja w Microsoft Purview (Standardowa lub Premium).

Instrukcje dotyczące konfiguracji:

Łączenie dzienników inspekcji aktywności Administracja platformy Microsoft Power Platform z Microsoft Sentinel

Ten łącznik używa interfejsu API zarządzania pakietu Office do pobierania dzienników inspekcji administratora platformy Power Platform. Dzienniki będą przechowywane i przetwarzane w istniejącym obszarze roboczym Microsoft Sentinel. Dane można znaleźć w tabeli PowerPlatformAdminActivity .

  • Włączanie/wyłączanie połączenia



Microsoft PowerBI

Obsługiwane przez:Microsoft Corporation

Microsoft PowerBI to zbiór usług oprogramowania, aplikacji i łączników, które współpracują ze sobą, aby przekształcić niepowiązane źródła danych w spójne, wizualnie immersyjne i interaktywne szczegółowe informacje. Twoje dane mogą być arkuszem kalkulacyjnym programu Excel, kolekcją opartych na chmurze i lokalnych hybrydowych magazynów danych lub magazynem danych innego typu. Ten łącznik umożliwia przesyłanie strumieniowe dzienników inspekcji usługi PowerBI do Microsoft Sentinel, co umożliwia śledzenie działań użytkowników w środowisku usługi PowerBI. Dane inspekcji można filtrować według zakresu dat, użytkownika, pulpitu nawigacyjnego, raportu, zestawu danych i typu działania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PowerBIActivity Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Project

Obsługiwane przez:Microsoft

Microsoft Project (MSP) to rozwiązanie do zarządzania projektami. W zależności od planu program Microsoft Project umożliwia planowanie projektów, przypisywanie zadań, zarządzanie zasobami, tworzenie raportów i nie tylko. Ten łącznik umożliwia przesyłanie strumieniowe dzienników inspekcji Azure Project do Microsoft Sentinel w celu śledzenia działań projektu.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ProjectActivity Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Purview

Obsługiwane przez:Microsoft Corporation

Połącz się z usługą Microsoft Purview, aby włączyć wzbogacanie poufności danych o Microsoft Sentinel. Dzienniki klasyfikacji danych i etykiet poufności ze skanowania usługi Microsoft Purview można pozyskiwać i wizualizować za pomocą skoroszytów, reguł analitycznych i nie tylko. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PurviewDataSensitivityLogs Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie usługi Microsoft Purview z Microsoft Sentinel

W portalu Azure przejdź do zasobu usługi Purview:

  1. Na pasku wyszukiwania wyszukaj konta usługi Purview.
  2. Wybierz określone konto, które chcesz skonfigurować przy użyciu Sentinel.

Wewnątrz zasobu usługi Microsoft Purview: 3. Wybierz pozycję Ustawienia diagnostyczne. 4. Wybierz pozycję + Dodaj ustawienie diagnostyczne. 5. W bloku Ustawienie diagnostyczne :

  • Wybierz kategorię dziennika jako DataSensitivityLogEvent.
  • Wybierz pozycję Wyślij do usługi Log Analytics.
  • Wybierz docelowy obszar roboczy dziennika. Powinien to być ten sam obszar roboczy, który jest używany przez Microsoft Sentinel.
  • Kliknij Zapisz.



Microsoft Purview Information Protection

Obsługiwane przez:Microsoft Corporation

Microsoft Purview Information Protection pomaga odnajdywać, klasyfikować, chronić i zarządzać poufnymi informacjami wszędzie tam, gdzie się znajdują lub podróżują. Dzięki tym funkcjom możesz poznać swoje dane, zidentyfikować elementy, które są poufne, i uzyskać wgląd w sposób ich używania w celu lepszej ochrony danych. Etykiety poufności to podstawowa funkcja, która zapewnia akcje ochrony, stosując szyfrowanie, ograniczenia dostępu i oznaczenia wizualne. Integruj dzienniki Microsoft Purview Information Protection z Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć niestandardowe alerty i ulepszać badanie. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MicrosoftPurviewInformationProtection Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Mimecast Audit

Obsługiwane przez:Mimecast

Łącznik danych dla usługi Mimecast Audit zapewnia klientom wgląd w zdarzenia zabezpieczeń związane ze zdarzeniami inspekcji i uwierzytelniania w Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat aktywności użytkowników, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to: Inspekcja

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Audit_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

KROK 2 . Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy łatwo udostępnić klucze autoryzacji interfejsu API mimecast lub tokeny.

KROK 3 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 4 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych tenableVM. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 5 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

Wdróż łącznik danych inspekcji programu Mimecast:

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych inspekcji programu Mimecast.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź poniższe informacje:

    a. Lokalizacja — lokalizacja, w której powinny zostać wdrożone reguły zbierania danych i punkty końcowe zbierania danych

    b. WorkspaceName — wprowadź Microsoft Sentinel nazwę obszaru roboczego usługi Log Analytics

    c. AzureClientID — wprowadź identyfikator klienta Azure utworzony podczas rejestracji aplikacji

    d. AzureClientSecret — wprowadź Azure klucz tajny klienta utworzony podczas tworzenia wpisu tajnego klienta

    e. AzureTenantID — wprowadź identyfikator dzierżawy Azure Azure Active Directory

    f. AzureEntraObjectID — wprowadź identyfikator obiektu aplikacji Microsoft Entra

    G. MimecastBaseURL — wprowadź podstawowy adres URL interfejsu API Mimecast 2.0 (np. https://api.services.mimecast.com)

    H. MimecastClientID — wprowadź identyfikator klienta Mimecast na potrzeby uwierzytelniania

    i. MimecastClientSecret — wprowadź klucz tajny klienta mimecast na potrzeby uwierzytelniania

    J. MimecastAuditTableName — wprowadź nazwę tabeli używanej do przechowywania danych inspekcji. Wartość domyślna to "Audit" (Inspekcja)

    K. StartDate — wprowadź datę rozpoczęcia w formacie "yyyy-mm-dd". Jeśli nie podasz daty, dane z ostatnich 60 dni zostaną pobrane automatycznie. Upewnij się, że data jest w przeszłości i prawidłowo sformatowana

    L. Harmonogram — wprowadź prawidłowe wyrażenie cron-expression kwarcu. (Przykład: 0 0 */1 * * *) Nie pozostaw wartości pustej, wartość minimalna to 10 minut

    M. LogLevel — dodaj wartość ważności dziennika lub poziomu dziennika. Domyślnie jest ona ustawiona na INFO

    N. AppInsightsWorkspaceResourceId — migrowanie klasycznej usługi Application Insights do obszaru roboczego analizy dzienników, który zostanie wycofany do 29 roku febraury 2024. Użyj bloku "Obszar roboczy analityczny dziennika —> właściwości" z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Mimecast Audit & Authentication (przy użyciu Azure Functions)

Obsługiwane przez:Mimecast

Łącznik danych dla usługi Mimecast Audit & Authentication zapewnia klientom wgląd w zdarzenia zabezpieczeń związane ze zdarzeniami inspekcji i uwierzytelniania w Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat aktywności użytkowników, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to: Audit & Authentication (Inspekcja uwierzytelniania &)

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MimecastAudit_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
  • mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast

Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupa zasobów: musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.
  • Aplikacja usługi Functions: aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure
  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

KROK 2 . Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API mimecast lub token.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Wdróż łącznik danych uwierzytelniania usługi Mimecast Audit &:

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure active directory ---> więcej informacji ---> identyfikator obiektu -----> profilu
  • appInsightsLocation (wartość domyślna): westeurope
  • mimecastEmail: Email adres dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL bazy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji Azure Portal ---> Rejestracje aplikacji ---> [your_app] --->
  • activeDirectoryAppSecret: Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisów tajnych ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Obszary robocze usługi Log Analytics ---> [Twój obszar roboczy] ---> agentów ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z góry)
  • workspaceKey: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> agentów ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.

  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do Azure Portal ---> Grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> KONTENERY OBIEKTÓW BLOB ---> Inspekcja punktów kontrolnych ---> Przekaż i utwórz pusty plik na maszynie o nazwie checkpoint.txt i wybierz go do przekazania (jest to wykonywane w taki sposób, aby date_range dzienników SIEM były przechowywane w stanie spójnym)



Mimecast Awareness Training

Obsługiwane przez:Mimecast

Łącznik danych programu Mimecast Awareness Training zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji usługi Targeted Threat Protection w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to:

  • Szczegóły wydajności
  • Szczegóły wskaźnika bezpieczeństwa
  • Dane użytkownika
  • Szczegóły listy obserwowanych

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Awareness_Performance_Details_CL Tak Tak
Awareness_SafeScore_Details_CL Tak Tak
Awareness_User_Data_CL Tak Tak
Awareness_Watchlist_Details_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

Grupa zasobów

Musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.

Aplikacja usługi Functions

Aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure

  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta
  5. identyfikator obiektu Entra

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika mimecast data connector.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 2 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika mimecast data connector. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych Mimecast.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

KROK 4 — Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy łatwo udostępnić klucze autoryzacji interfejsu API mimecast lub tokeny.

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika mimecast Awareness Training Data Connector.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź poniższe informacje:

    a. Lokalizacja — lokalizacja, w której powinny zostać wdrożone reguły zbierania danych i punkty końcowe zbierania danych

    b. WorkspaceName — wprowadź Microsoft Sentinel nazwę obszaru roboczego usługi Log Analytics

    c. AzureClientID — wprowadź identyfikator klienta Azure utworzony podczas rejestracji aplikacji

    d. AzureClientSecret — wprowadź Azure klucz tajny klienta utworzony podczas tworzenia wpisu tajnego klienta

    e. AzureTenantID — wprowadź identyfikator dzierżawy Azure Azure Active Directory

    f. AzureEntraObjectID — wprowadź identyfikator obiektu aplikacji Microsoft Entra

    G. MimecastBaseURL — wprowadź podstawowy adres URL interfejsu API Mimecast 2.0 (np. https://api.services.mimecast.com)

    H. MimecastClientID — wprowadź identyfikator klienta Mimecast na potrzeby uwierzytelniania

    i. MimecastClientSecret — wprowadź klucz tajny klienta mimecast na potrzeby uwierzytelniania

    J. MimecastAwarenessPerformanceDetailsTableName — wprowadź nazwę tabeli używanej do przechowywania danych szczegółów wydajności rozpoznawania. Wartość domyślna to "Awareness_Performance_Details"

    K. MimecastAwarenessUserDataTableName — wprowadź nazwę tabeli używanej do przechowywania danych użytkownika świadomości. Wartość domyślna to "Awareness_User_Data"

    L. MimecastAwarenessWatchlistDetailsTableName — wprowadź nazwę tabeli używanej do przechowywania danych szczegółów listy obserwowanych świadomości. Wartość domyślna to "Awareness_Watchlist_Details"

    M. MimecastAwarenessSafeScoreDetailsTableName — wprowadź nazwę tabeli używanej do przechowywania danych awareness SafeScore Details. Wartość domyślna to "Awareness_SafeScore_Details"

    N. StartDate — wprowadź datę rozpoczęcia w formacie "yyyy-mm-dd". Jeśli nie podasz daty, dane z ostatnich 60 dni zostaną pobrane automatycznie. Upewnij się, że data jest w przeszłości i prawidłowo sformatowana

    o. Harmonogram — wprowadź prawidłowe wyrażenie cron-expression kwarcu. (Przykład: 0 0 */1 * * *) Nie pozostaw wartości pustej, wartość minimalna to 10 minut

    P. LogLevel — dodaj wartość ważności dziennika lub poziomu dziennika. Domyślnie jest ona ustawiona na INFO

    P. AppInsightsWorkspaceResourceId — migrowanie klasycznej usługi Application Insights do obszaru roboczego analizy dzienników, który zostanie wycofany do 29 roku febraury 2024. Użyj bloku "Obszar roboczy analityczny dziennika —> właściwości" z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Mimecast Cloud Integrated

Obsługiwane przez:Mimecast

Łącznik danych dla rozwiązania Mimecast Cloud Integrated zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji zintegrowanej z chmurą w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cloud_Integrated_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

Grupa zasobów

Musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.

Aplikacja usługi Functions

Aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure

  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

KROK 2 . Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy łatwo udostępnić klucze autoryzacji interfejsu API mimecast lub tokeny.

KROK 3 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 4 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych tenableVM. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 5 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Mimecast Cloud Integrated Data Connector.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź poniższe informacje:

    a. Lokalizacja — lokalizacja, w której powinny zostać wdrożone reguły zbierania danych i punkty końcowe zbierania danych

    b. WorkspaceName — wprowadź Microsoft Sentinel nazwę obszaru roboczego usługi Log Analytics

    c. AzureClientID — wprowadź identyfikator klienta Azure utworzony podczas rejestracji aplikacji

    d. AzureClientSecret — wprowadź Azure klucz tajny klienta utworzony podczas tworzenia wpisu tajnego klienta

    e. AzureTenantID — wprowadź identyfikator dzierżawy Azure Azure Active Directory

    f. AzureEntraObjectID — wprowadź identyfikator obiektu aplikacji Microsoft Entra

    G. MimecastBaseURL — wprowadź podstawowy adres URL interfejsu API Mimecast 2.0 (np. https://api.services.mimecast.com)

    H. MimecastClientID — wprowadź identyfikator klienta Mimecast na potrzeby uwierzytelniania

    i. MimecastClientSecret — wprowadź klucz tajny klienta mimecast na potrzeby uwierzytelniania

    J. MimecastCITableName — wprowadź nazwę tabeli używanej do przechowywania zintegrowanych danych w chmurze. Wartość domyślna to "Cloud_Integrated"

    K. StartDate — wprowadź datę rozpoczęcia w formacie "yyyy-mm-dd". Jeśli nie podasz daty, dane z ostatnich 60 dni zostaną pobrane automatycznie. Upewnij się, że data jest w przeszłości i prawidłowo sformatowana

    L. Harmonogram — wprowadź prawidłowe wyrażenie cron-expression kwarcu. (Przykład: 0 0 */1 * * *) Nie pozostaw wartości pustej, wartość minimalna to 10 minut

    M. LogLevel — dodaj wartość ważności dziennika lub poziomu dziennika. Domyślnie jest ona ustawiona na INFO

    N. AppInsightsWorkspaceResourceId — migrowanie klasycznej usługi Application Insights do obszaru roboczego analizy dzienników, który zostanie wycofany do 29 roku febraury 2024. Użyj bloku "Obszar roboczy analityczny dziennika —> właściwości" z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Mimecast Intelligence for Microsoft — Microsoft Sentinel (przy użyciu Azure Functions)

Obsługiwane przez:Mimecast

Łącznik danych dla programu Mimecast Intelligence for Microsoft zapewnia regionalną analizę zagrożeń wyselekcjonowaną za pomocą technologii inspekcji poczty e-mail firmy Mimecast ze wstępnie utworzonymi pulpitami nawigacyjnymi, aby umożliwić analitykom wyświetlanie wglądu w zagrożenia oparte na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badania.
Wymagane są produkty i funkcje programu Mimecast:

  • Mimecast Secure Email Gateway
  • Mimecast Threat Intelligence

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
  • mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast

Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupa zasobów: musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.
  • Aplikacja usługi Functions: aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure
  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

KROK 2 . Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API mimecast lub token.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Włącz program Mimecast Intelligence dla firmy Microsoft — łącznik Microsoft Sentinel:

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure active directory ---> więcej informacji ---> identyfikator obiektu -----> profilu
  • appInsightsLocation (wartość domyślna): westeurope
  • mimecastEmail: Email adres dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL bazy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji Azure Portal ---> Rejestracje aplikacji ---> [your_app] --->
  • activeDirectoryAppSecret: Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisów tajnych ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Obszary robocze usługi Log Analytics ---> [Twój obszar roboczy] ---> agentów ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z góry)
  • workspaceKey: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> agentów ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.

  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do Azure Portal ---> Grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> KONTENERY OBIEKTÓW BLOB ---> punktów kontrolnych TIR ---> przekaż i utwórz pusty plik na maszynie o nazwie checkpoint.txt i wybierz go do przekazania (jest to wykonywane w taki sposób, aby date_range dzienników TIR były przechowywane w stanie spójnym)

Dodatkowa konfiguracja:

Nawiązywanie połączenia z łącznikiem danych platform analizy zagrożeń . Postępuj zgodnie z instrukcjami na stronie łącznika, a następnie kliknij przycisk Połącz.



Mimecast Secure Email Gateway

Obsługiwane przez:Mimecast

Łącznik danych dla usługi Mimecast Secure Email Gateway umożliwia łatwe zbieranie dzienników z bramy Secure Email Gateway w celu udostępniania szczegółowych informacji o wiadomościach e-mail i aktywności użytkowników w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów. Wymagane są produkty i funkcje programu Mimecast:

  • Mimecast Cloud Gateway
  • Mimecast Data Leak Prevention

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Seg_Cg_CL Tak Tak
Seg_Dlp_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

**KROK 2 — Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy łatwo udostępnić klucze autoryzacji interfejsu API mimecast lub tokeny.

KROK 3 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 4 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych tenableVM. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 5 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

Wdróż łącznik danych mimecast Secure Email Gateway:

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych mimecast Secure Email Gateway.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź poniższe informacje:

    a. Lokalizacja — lokalizacja, w której powinny zostać wdrożone reguły zbierania danych i punkty końcowe zbierania danych

    b. WorkspaceName — wprowadź Microsoft Sentinel nazwę obszaru roboczego usługi Log Analytics

    c. AzureClientID — wprowadź identyfikator klienta Azure utworzony podczas rejestracji aplikacji

    d. AzureClientSecret — wprowadź Azure klucz tajny klienta utworzony podczas tworzenia wpisu tajnego klienta

    e. AzureTenantID — wprowadź identyfikator dzierżawy Azure Azure Active Directory

    f. AzureEntraObjectID — wprowadź identyfikator obiektu aplikacji Microsoft Entra

    G. MimecastBaseURL — wprowadź podstawowy adres URL interfejsu API Mimecast 2.0 (np. https://api.services.mimecast.com)

    H. MimecastClientID — wprowadź identyfikator klienta Mimecast na potrzeby uwierzytelniania

    i. MimecastClientSecret — wprowadź klucz tajny klienta mimecast na potrzeby uwierzytelniania

    J. MimecastCGTableName — wprowadź nazwę tabeli używanej do przechowywania danych CG. Wartość domyślna to "Seg_Cg"

    K. MimecastDLPTableName — wprowadź nazwę tabeli używanej do przechowywania danych DLP. Wartość domyślna to "Seg_Dlp"

    L. StartDate — wprowadź datę rozpoczęcia w formacie "yyyy-mm-dd". Jeśli nie podasz daty, dane z ostatnich 60 dni zostaną pobrane automatycznie. Upewnij się, że data jest w przeszłości i prawidłowo sformatowana

    M. Harmonogram — wprowadź prawidłowe wyrażenie cron-expression kwarcu. (Przykład: 0 0 */1 * * *) Nie pozostaw wartości pustej, wartość minimalna to 10 minut

    N. LogLevel — dodaj wartość ważności dziennika lub poziomu dziennika. Domyślnie jest ona ustawiona na INFO

    o. AppInsightsWorkspaceResourceId — migrowanie klasycznej usługi Application Insights do obszaru roboczego analizy dzienników, który zostanie wycofany do 29 roku febraury 2024. Użyj bloku "Obszar roboczy analityczny dziennika —> właściwości" z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Mimecast Secure Email Gateway (przy użyciu Azure Functions)

Obsługiwane przez:Mimecast

Łącznik danych dla usługi Mimecast Secure Email Gateway umożliwia łatwe zbieranie dzienników z bramy Secure Email Gateway w celu udostępniania szczegółowych informacji o wiadomościach e-mail i aktywności użytkowników w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów. Wymagane są produkty i funkcje programu Mimecast:

  • Mimecast Secure Email Gateway
  • Mimecast Data Leak Prevention

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MimecastSIEM_CL Nie Nie
MimecastDLP_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
  • mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast

Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Grupa zasobów: musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.
  • Aplikacja usługi Functions: aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure
  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

KROK 2 . Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API mimecast lub token.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Wdróż łącznik danych mimecast Secure Email Gateway:

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure active directory ---> więcej informacji ---> identyfikator obiektu -----> profilu
  • appInsightsLocation (wartość domyślna): westeurope
  • mimecastEmail: Email adres dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL bazy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji Azure Portal ---> Rejestracje aplikacji ---> [your_app] --->
  • activeDirectoryAppSecret: Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisów tajnych ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Obszary robocze usługi Log Analytics ---> [Twój obszar roboczy] ---> agentów ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z góry)
  • workspaceKey: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> agentów ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.

  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do Azure Portal ---> Grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> KONTENERY OBIEKTÓW BLOB ---> punktów kontrolnych SIEM ---> Przekaż i utwórz pusty plik na maszynie o nazwie checkpoint.txt, dlp-checkpoint.txt i wybierz go do przekazania (jest to wykonywane w taki sposób, aby date_range dzienników SIEM było przechowywane w stanie spójnym)



Mimecast Targeted Threat Protection

Obsługiwane przez:Mimecast

Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji usługi Targeted Threat Protection w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to:

  • Ochrona adresu URL
  • Ochrona przed personifikacją
  • Ochrona załącznika

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Ttp_Url_CL Tak Tak
Ttp_Attachment_CL Tak Tak
Ttp_Impersonation_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

Grupa zasobów

Musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.

Aplikacja usługi Functions

Aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure

  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika mimecast data connector.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 2 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika mimecast data connector. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych Mimecast.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

KROK 4 — Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy łatwo udostępnić klucze autoryzacji interfejsu API mimecast lub tokeny.

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych mimecast targeted threat protection.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

  3. Wprowadź poniższe informacje:

    a. Lokalizacja — lokalizacja, w której powinny zostać wdrożone reguły zbierania danych i punkty końcowe zbierania danych

    b. WorkspaceName — wprowadź Microsoft Sentinel nazwę obszaru roboczego usługi Log Analytics

    c. AzureClientID — wprowadź identyfikator klienta Azure utworzony podczas rejestracji aplikacji

    d. AzureClientSecret — wprowadź Azure klucz tajny klienta utworzony podczas tworzenia wpisu tajnego klienta

    e. AzureTenantID — wprowadź identyfikator dzierżawy Azure Azure Active Directory

    f. AzureEntraObjectID — wprowadź identyfikator obiektu aplikacji Microsoft Entra

    G. MimecastBaseURL — wprowadź podstawowy adres URL interfejsu API Mimecast 2.0 (np. https://api.services.mimecast.com)

    H. MimecastClientID — wprowadź identyfikator klienta Mimecast na potrzeby uwierzytelniania

    i. MimecastClientSecret — wprowadź klucz tajny klienta mimecast na potrzeby uwierzytelniania

    J. StartDate — wprowadź datę rozpoczęcia w formacie "yyyy-mm-dd". Jeśli nie podasz daty, dane z ostatnich 60 dni zostaną pobrane automatycznie. Upewnij się, że data jest w przeszłości i prawidłowo sformatowana

    K. MimecastTTPAttachmentTableName — wprowadź nazwę tabeli używanej do przechowywania danych załącznika TTP. Wartość domyślna to "Ttp_Attachment"

    L. MimecastTTPImpersonationTableName — wprowadź nazwę tabeli używanej do przechowywania danych personifikacji TTP. Wartość domyślna to "Ttp_Impersonation"

    M. MimecastTTPUrlTableName — wprowadź nazwę tabeli używanej do przechowywania danych załącznika TTP. Wartość domyślna to "Ttp_Url"

    N. Harmonogram — wprowadź prawidłowe wyrażenie cron-expression kwarcu. (Przykład: 0 0 */1 * * *) Nie pozostaw wartości pustej, wartość minimalna to 10 minut

    L. LogLevel — dodaj wartość ważności dziennika lub poziomu dziennika. Domyślnie jest ona ustawiona na INFO

    o. AppInsightsWorkspaceResourceId — migrowanie klasycznej usługi Application Insights do obszaru roboczego analizy dzienników, który zostanie wycofany do 29 roku febraury 2024. Użyj bloku "Obszar roboczy analityczny dziennika —> właściwości" z wartością właściwości "Identyfikator zasobu". Jest to w pełni kwalifikowany identyfikator zasobu w formacie "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}"

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.



Mimecast Targeted Threat Protection (przy użyciu Azure Functions)

Obsługiwane przez:Mimecast

Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji usługi Targeted Threat Protection w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to:

  • Ochrona adresu URL
  • Ochrona przed personifikacją
  • Ochrona załącznika

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MimecastTTPUrl_CL Nie Nie
MimecastTTPAttachment_CL Nie Nie
MimecastTTPImpersonation_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: Aby skonfigurować integrację, musisz mieć następujące informacje:
  • mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
  • mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
  • mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
  • mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast

Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.

Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Instrukcje dotyczące konfiguracji:

Grupa zasobów

Musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.

Aplikacja usługi Functions

Aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure

  1. Identyfikator aplikacji
  2. Identyfikator dzierżawy
  3. Identyfikator klienta
  4. Klucz tajny klienta

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API mimecast w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API mimecast

Przejdź do Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisy tajne ---> Nowy klucz tajny klienta i utwórz nowy wpis tajny (zapisz wartość w bezpiecznym miejscu od razu, ponieważ nie będzie można wyświetlić jej podglądu później)

KROK 2 . Wdrażanie łącznika interfejsu API mimecast

WAŻNE: Przed wdrożeniem łącznika interfejsu API Mimecast należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępne klucze autoryzacji interfejsu API mimecast lub token.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Wdróż łącznik danych mimecast targeted threat protection:

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące pola:

  • appName: unikatowy ciąg, który będzie używany jako identyfikator aplikacji na platformie Azure
  • objectId: Azure Portal ---> Azure active directory ---> więcej informacji ---> identyfikator obiektu -----> profilu
  • appInsightsLocation (wartość domyślna): westeurope
  • mimecastEmail: Email adres dedykowanego użytkownika dla tej integracji
  • mimecastPassword: hasło dla dedykowanego użytkownika
  • mimecastAppId: identyfikator aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAppKey: klucz aplikacji z aplikacji Microsoft Sentinel zarejestrowanej w programie Mimecast
  • mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika mimecast
  • mimecastSecretKey: klucz tajny dedykowanego użytkownika mimecast
  • mimecastBaseURL: regionalny adres URL bazy interfejsu API mimecast
  • activeDirectoryAppId: identyfikator aplikacji Azure Portal ---> Rejestracje aplikacji ---> [your_app] --->
  • activeDirectoryAppSecret: Azure Portal ---> Rejestracje aplikacji ---> [your_app] ---> Certyfikaty & wpisów tajnych ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Obszary robocze usługi Log Analytics ---> [Twój obszar roboczy] ---> agentów ---> identyfikator obszaru roboczego (lub możesz skopiować identyfikator obszaru roboczego z góry)
  • workspaceKey: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> agentów ---> klucz podstawowy (lub możesz skopiować klucz obszaru roboczego z góry)
  • AppInsightsWorkspaceResourceID: Azure Portal ---> obszary robocze usługi Log Analytics ---> [Obszar roboczy] ---> właściwości ---> identyfikator zasobu

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.

  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  2. Kliknij pozycję Kup , aby wdrożyć.

  3. Przejdź do Azure Portal ---> Grupy zasobów ---> [your_resource_group] ---> [appName](typ: konto magazynu) --- Eksplorator usługi Storage --->> KONTENERY OBIEKTÓW BLOB ---> punktów kontrolnych TTP ---> Przekazywanie i tworzenie pustych plików na maszynie o nazwie attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt i wybieranie ich do przekazania (jest to wykonywane tak, aby date_range dzienników TTP były przechowywane w stanie spójnym)



MISP2Sentinel

Obsługiwane przez:Community

To rozwiązanie instaluje łącznik MISP2Sentinel, który umożliwia automatyczne wypychanie wskaźników zagrożeń z programu MISP do Microsoft Sentinel za pośrednictwem interfejsu API REST przekazywania wskaźników. Po zainstalowaniu rozwiązania skonfiguruj i włącz ten łącznik danych, postępując zgodnie ze wskazówkami w widoku Zarządzanie rozwiązaniem.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Instrukcje instalacji i instalacji

Użyj dokumentacji z tego repozytorium GitHub, aby zainstalować i skonfigurować program MISP w celu Microsoft Sentinel łącznika:

https://github.com/cudeso/misp2sentinel



Dzienniki atlasu bazy danych MongoDB

Obsługiwane przez:MongoDB

Łącznik Dzienniki MongoDBAtlas umożliwia przekazywanie dzienników bazy danych MongoDB Atlas do Microsoft Sentinel za pośrednictwem interfejsu API administrowania atlasem bazy danych MongoDB. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik zapewnia możliwość pobierania zakresu komunikatów dziennika bazy danych dla określonych hostów i określonego projektu.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MDBALogTable_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator klienta konta usługi MongoDB Atlas i klucz tajny klienta . Aby uzyskać więcej informacji, zobacz tworzenie konta usługi

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z usługą "Atlas bazy danych MongoDB", aby ściągnąć swoje dzienniki do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Przed wdrożeniem łącznika upewnij się, że obszar roboczy został dodany do Microsoft Sentinel.

KROK 1 . Kroki konfiguracji interfejsu API administracji atlasu bazy danych MongoDB

  1. Postępuj zgodnie z tymi instrukcjami , aby utworzyć konto usługi Atlas bazy danych MongoDB.
  2. Skopiuj utworzony identyfikator klienta i klucz tajny klienta, a także identyfikator grupy (Project) i każdy identyfikator klastra (nazwa hosta) wymagany do późniejszych kroków.
  3. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API atlasu bazy danych MongoDB .
  4. Wpis tajny klienta można przekazać do łącznika za pośrednictwem magazynu kluczy Azure lub bezpośrednio do łącznika.
  5. Jeśli chcesz użyć opcji magazynu kluczy, utwórz magazyn kluczy przy użyciu zasad dostępu do magazynu z wpisem tajnym o nazwie mongodb-client-secret i kluczem tajnym klienta zapisanym jako wartość wpisu tajnego.

KROK 2 . Wdrażanie łącznika "Dzienniki atlasu bazy danych MongoDB" i skojarzonej funkcji Azure

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    portal.azure.com

KROK 3 . Ustawianie parametrów łącznika

  1. Wybierz preferowaną subskrypcję i istniejącą grupę zasobów.
  2. Wprowadź istniejący identyfikator zasobu obszaru roboczego usługi Log Analytics należący do grupy zasobów.
  3. Kliknij Dalej
  4. Wprowadź identyfikator grupy bazy danych MongoDB, listę maksymalnie 10 identyfikatorów klastra bazy danych MongoDB, z których każdy znajduje się w osobnym wierszu, oraz identyfikator klienta bazy danych MongoDB.
  5. Wybierz metodę uwierzytelniania klucza tajnego klienta i skopiuj wartość wpisu tajnego klienta lub Key Vault i skopiuj w nazwie magazynu kluczy. Kliknij Dalej
  6. Przejrzyj filtry bazy danych MongoDB. Wybierz dzienniki z co najmniej jednej kategorii. Kliknij Dalej
  7. Przejrzyj harmonogram. Kliknij Dalej
  8. Przejrzyj ustawienia, a następnie kliknij pozycję Utwórz.



MuleSoft Cloudhub (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych MuleSoft Cloudhub zapewnia możliwość pobierania dzienników z aplikacji Cloudhub przy użyciu interfejsu API cloudhub i innych zdarzeń do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
MuleSoft_Cloudhub_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername i MuleSoftPassword są wymagane do wykonywania wywołań interfejsu API.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Azure Blob Storage w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami w aplikacji MuleSoftCloudhub wdrożonej za pomocą rozwiązania Microsoft Sentinel.

Uwaga: ten łącznik danych pobiera tylko dzienniki aplikacji CloudHub przy użyciu interfejsu API platformy, a nie aplikacji CloudHub 2.0

KROK 1 . Kroki konfiguracji interfejsu API MuleSoft Cloudhub

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Uzyskaj elementy MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername i MuleSoftPassword , korzystając z dokumentacji.
  2. Zapisz poświadczenia do użycia w łączniku danych.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych MuleSoft Cloudhub należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych MuleSoft Cloudhub przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername i MuleSoftPassword i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych MuleSoft Cloudhub z Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. MuleSoftXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (wielkość liter): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Ochrona nc

Obsługiwane przez:archTIS

Program NC Protect Data Connector (archtis.com) umożliwia pozyskiwanie dzienników aktywności użytkowników i zdarzeń do Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki aktywności i zdarzenia użytkownika nc protect w Microsoft Sentinel w celu poprawy możliwości monitorowania i badania

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
NCProtectUAL_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Nc Protect: Musisz mieć uruchomione wystąpienie funkcji NC Protect dla usługi O365. Skontaktuj się z nami.

Instrukcje dotyczące konfiguracji:

  1. Instalowanie funkcji NC Protect w dzierżawie Azure
  2. Zaloguj się do lokacji administracyjnej nc protect
  3. W menu nawigacji po lewej stronie wybierz pozycję Ogólne —> Monitorowanie aktywności użytkowników
  4. Zaznacz pole wyboru Włącz SIEM i kliknij przycisk Konfiguruj
  5. Wybierz Microsoft Sentinel jako aplikację i zakończ konfigurację, korzystając z poniższych informacji
  6. Kliknij przycisk Zapisz, aby aktywować połączenie
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Alerty i zdarzenia netskope

Obsługiwane przez:Netskope

Netskope Security Alerts and Events

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
NetskopeAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Adres URL organizacji Netskope: łącznik danych Netskope wymaga podania adresu URL organizacji. Adres URL organizacji można znaleźć, logując się do portalu Netskope.
  • Klucz interfejsu API Netskope: łącznik danych Netskope wymaga podania prawidłowego klucza interfejsu API. Można go utworzyć, postępjąc zgodnie z dokumentacją netskope.

Instrukcje dotyczące konfiguracji:

KROK 1 . Tworzenie klucza interfejsu API Netskope.

Postępuj zgodnie z dokumentacją netskope , aby uzyskać wskazówki dotyczące tego kroku.

KROK 2 . Wprowadź szczegóły produktu Netskope

Wprowadź adres URL organizacji Netskope & token interfejsu API poniżej:

  • Adres URL organizacji: (Wprowadź adres URL organizacji)
  • Klucz interfejsu API: (Wprowadź klucz interfejsu API) OPCJONALNIE: określ indeks używany przez interfejs API.

Konfigurowanie indeksu jest opcjonalne i jest wymagane tylko w scenariuszach zaawansowanych. Usługa Netskope używa indeksu do pobierania zdarzeń. W niektórych zaawansowanych przypadkach (używając zdarzenia w wielu obszarach roboczych Microsoft Sentinel lub wstępnie fatiguing indeksu w celu pobrania tylko ostatnich danych), klient może chcieć mieć bezpośrednią kontrolę nad indeksem.

  • Indeks: (NetskopeCCF)

KROK 3 . Kliknij pozycję Połącz

Sprawdź, czy wszystkie powyższe pola zostały poprawnie wypełnione. Naciśnij przycisk Połącz, aby połączyć usługę Netskope z Microsoft Sentinel.

  • Włączanie/wyłączanie połączenia



Łącznik danych Netskope

Obsługiwane przez:Netskope

Łącznik danych Netskope zapewnia następujące możliwości:

  1. NetskopeToAzureStorage :
  • Pobierz dane alertów i zdarzeń Netskope z netskope i pozyskuj do magazynu Azure. 2. StorageToSentinel:
  • Pobierz dane alertów i zdarzeń netskope z magazynu Azure i pozyskuj do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics. 3. WebTxMetrics:
  • Pobierz dane WebTxMetrics z narzędzia Netskope i pozyskuj do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics.

Aby uzyskać więcej informacji na temat interfejsów API REST, zapoznaj się z poniższymi dokumentacjami:

  1. Dokumentacja interfejsu API Netskope:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure dokumentacji magazynu: /azure/storage/common/storage-introduction 3. Dokumentacja analityczna dziennika firmy Microsoft: /azure/azure-monitor/logs/log-analytics-overview

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
alertscompromisedcredentialdata_CL Nie Nie
alertsctepdata_CL Nie Nie
alertsdlpdata_CL Nie Nie
alertsmalsitedata_CL Nie Nie
alertsmalwaredata_CL Nie Nie
alertspolicydata_CL Nie Nie
alertsquarantinedata_CL Nie Nie
alertsremediationdata_CL Nie Nie
alertssecurityassessmentdata_CL Nie Nie
alertsubadata_CL Nie Nie
eventsapplicationdata_CL Nie Nie
eventsauditdata_CL Nie Nie
eventsconnectiondata_CL Nie Nie
eventsincidentdata_CL Nie Nie
eventsnetworkdata_CL Nie Nie
eventspagedata_CL Nie Nie
Netskope_WebTx_metrics_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: Wymagana jest dzierżawa Netskope i token interfejsu API Netskope . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsami API Netskope w celu ściągnięcia danych alertów i zdarzeń do niestandardowej tabeli dzienników. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania podręcznika TriggersSync.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 2 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania podręcznika TriggersSync. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania podręcznika TriggersSync.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 3 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 4 . Kroki tworzenia/pobierania poświadczeń dla konta Netskope

Wykonaj kroki opisane w tej sekcji, aby utworzyć/pobrać nazwę hosta Netskope i token interfejsu API Netskope:

  1. Zaloguj się do dzierżawy Netskope i przejdź do menu Ustawienia na lewym pasku nawigacyjnym.
  2. Kliknij pozycję Narzędzia, a następnie interfejs API REST w wersji 2
  3. Teraz kliknij nowy przycisk tokenu. Następnie zostanie wyświetlona prośba o podanie nazwy tokenu, czasu wygaśnięcia i punktów końcowych, z których chcesz pobrać dane.
  4. Po zakończeniu kliknij przycisk zapisz, token zostanie wygenerowany. Skopiuj token i zapisz go w bezpiecznym miejscu w celu dalszego użycia.

KROK 5 — kroki tworzenia funkcji platformy Azure dla zbierania danych alertów i zdarzeń Netskope

WAŻNE: Przed wdrożeniem łącznika danych Netskope należy łatwo udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów). Oraz klucze autoryzacji interfejsu API Netskope.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Za pomocą szablonu usługi ARM wdróż aplikacje funkcji na potrzeby pozyskiwania zdarzeń netskope i danych alertów do Sentinel.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Netskope HostName Netskope API Token Select Yes in Alerts and Events types dropdown for that endpoint you want to fetch Alerts and Events Log Level Workspace ID Workspace Key (Nazwa hosta Netskope— token interfejsu API Netskope) wybierz pozycję Tak na liście rozwijanej Alerty i typy zdarzeń dla tego punktu końcowego, który chcesz pobrać klucz obszaru roboczego na poziomie dziennika alertów i zdarzeń

  4. Kliknij pozycję Przejrzyj+Utwórz.

  5. Następnie po walidacji kliknij pozycję Utwórz , aby wdrożyć.



Łącznik transakcji sieci Web Netskope (za pośrednictwem usługi Blob Storage)

Obsługiwane przez:Netskope

Łącznik transakcji sieci Web Netskope pozyskuje dzienniki transakcji internetowych z usługi Netskope Log Streaming do Microsoft Sentinel za pośrednictwem Azure Blob Storage przy użyciu struktury łączników bezkodowych (CCF).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
NetskopeWebTransactions_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia subskrypcji: potrzebne są uprawnienia do tworzenia zasobów przepływu danych:
  • kolejki magazynu (kolejka powiadomień i kolejka utraconych wiadomości)
  • temat i subskrypcja usługi Event Grid (w celu wysyłania powiadomień "zdarzenie utworzone przez obiekt blob" do kolejki powiadomień)
  • przypisania ról (aby udzielić dostępu do aplikacji Microsoft Sentinel kontenerowi obiektów blob i kolejkom magazynu).
  • Konfiguracja sieci konta magazynu: ograniczenia sieci (reguły zapory/ip) na koncie Azure Blob Storage nie są obsługiwane dla tego łącznika z powodu ograniczeń i ograniczeń zapory usługi Azure Storage:
  • Reguły sieci IPnie mają wpływuna żądania pochodzące z tego samego regionu Azure co konto magazynu.
  • Reguły sieci IPnie mogą ograniczaćdostępu do usług Azure wdrożonych w tym samym regionie, ponieważ te usługi używają prywatnych Azure adresów IP do komunikacji.
  • Reguły punktu końcowego usługi sieci wirtualnej nie mają zastosowania do klientów w sparowanym regionie.

Upewnij się, że w bloku Sieć konta magazynu ustawiono opcję Włączone ze wszystkich sieci.

  • Przypisania ról konta magazynu: następujące role RBAC Azure muszą być przypisane do jednostki usługi aplikacji przedsiębiorstwa Microsoft Sentinel (wyświetlanej poniżej) na koncie magazynu zawierającym kontener obiektów blob:
  • Współautor danych obiektu blob magazynu — wymagany do odczytywania danych obiektów blob z kontenera.
  • Współautor danych kolejki magazynu — wymagany do zarządzania powiadomieniami i komunikatami w kolejce utraconych wiadomości.

Aby przypisać te role: przejdź do konta magazynu → Access Control (IAM)Dodaj przypisanie roli, wyszukaj identyfikator jednostki usługi pokazany poniżej i przypisz obie role.

Instrukcje dotyczące konfiguracji:

Łączenie dzienników Netskope WebTx z Microsoft Sentinel

Aby włączyć dzienniki Netskope WebTx dla Microsoft Sentinel, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

  • Adres URL kontenera obiektów blob, z który chcesz zbierać dane:
  • Nazwa folderu obiektów blob w kontenerze. Opcjonalne.:
  • Lokalizacja konta magazynu kontenera obiektów blob:
  • Nazwa grupy zasobów konta magazynu kontenera obiektów blob:
  • Identyfikator subskrypcji konta magazynu kontenera obiektów blob:
  • Nazwa tematu siatki zdarzeń konta magazynu kontenera obiektów blob, jeśli istnieje. w przeciwnym razie pozostaw puste.:
  • Włączanie/wyłączanie połączenia



Netskope Web Transactions Data Connector

Obsługiwane przez:Netskope

Łącznik danych Netskope Web Transactions udostępnia funkcje obrazu platformy Docker do ściągania danych transakcji internetowych Netskope z google pubsublite, przetwarzania danych i pozyskiwania przetworzonych danych do usługi Log Analytics. W ramach tego łącznika danych w usłudze Log Analytics zostaną utworzone dwie tabele, jedna dla danych transakcji internetowych i druga w przypadku błędów napotkanych podczas wykonywania.

Aby uzyskać więcej informacji związanych z transakcjami internetowymi, zapoznaj się z poniższą dokumentacją:

  1. Dokumentacja usługi Netskope Web Transactions:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
NetskopeWebtxData_CL Nie Nie
NetskopeWebtxErrors_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.compute: wymagane są uprawnienia do odczytu i zapisu maszyn wirtualnych Azure. Aby uzyskać więcej informacji, zobacz Azure maszyn wirtualnych.
  • TransactionEvents Credentials and Permissions: Netskope Tenant and Netskope API Token is required (Wymagane są poświadczenia i uprawnienia usługi TransactionEvents: dzierżawa netskope i token interfejsu API Netskope ). Aby uzyskać więcej informacji, zobacz Zdarzenia transakcji.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik zapewnia funkcjonalność pozyskiwania danych transakcji sieci Web Netskope przy użyciu obrazu platformy Docker, który ma zostać wdrożony na maszynie wirtualnej (Azure maszyny wirtualnej/lokalnej maszyny wirtualnej). Szczegółowe informacje można znaleźć na stronie cennika maszyny wirtualnej Azure.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki tworzenia/pobierania poświadczeń dla konta Netskope

Wykonaj kroki opisane w tej sekcji, aby utworzyć/pobrać nazwę hosta Netskope i token interfejsu API Netskope:

  1. Zaloguj się do dzierżawy Netskope i przejdź do menu Ustawienia na lewym pasku nawigacyjnym.
  2. Kliknij pozycję Narzędzia, a następnie interfejs API REST w wersji 2
  3. Teraz kliknij nowy przycisk tokenu. Następnie zostanie wyświetlona prośba o podanie nazwy tokenu, czasu wygaśnięcia i punktów końcowych, z których chcesz pobrać dane.
  4. Po zakończeniu kliknij przycisk zapisz, token zostanie wygenerowany. Skopiuj token i zapisz go w bezpiecznym miejscu w celu dalszego użycia.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik danych oparty na platformie Docker w celu pozyskiwania danych transakcji sieci Web Netskope

WAŻNE: Przed wdrożeniem łącznika danych Netskope należy łatwo udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także klucze autoryzacji interfejsu API Netskope [Upewnij się, że token ma uprawnienia do zdarzeń transakcji].

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — wdrażanie maszyny wirtualnej [Zalecane] przy użyciu szablonu Azure Resource Manager (ARM)

Za pomocą szablonu usługi ARM wdróż maszynę wirtualną Azure, zainstaluj wymagania wstępne i rozpocznij wykonywanie.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Nazwa obrazu platformy Docker (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (Znacznik czasu epoki, który chcesz wyszukać wskaźnik pubsublite, może pozostać pusty) Liczba ponawiania prób klucza obszaru roboczego identyfikatora obszaru roboczego (liczba ponownych prób błędów związanych z tokenem przed ponownym uruchomieniem wykonania).
    Czas uśpienia wycofywania (liczba sekund do uśpienia przed ponowieniem próby) Limit czasu bezczynności (liczba sekund oczekiwania na dane transakcji internetowych przed ponownym uruchomieniem wykonania) Typ uwierzytelniania nazwy maszyny wirtualnej Administracja hasło lub prefiks prefiksu etykiety DNS systemu operacyjnego Ubuntu Nazwa sieciowa nazwa sieciowej nazwy grupy zabezpieczeń nazwa sieciowej nazwy grupy zabezpieczeń

  4. Kliknij pozycję Przejrzyj+Utwórz.

  5. Następnie po walidacji kliknij pozycję Utwórz , aby wdrożyć.

Opcja 2 — ręczne wdrażanie na wcześniej utworzonej maszynie wirtualnej

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych oparty na platformie Docker na wcześniej utworzonej maszynie wirtualnej.

  1. Instalowanie obrazu platformy Docker i ściągania platformy Docker

UWAGA: Upewnij się, że maszyna wirtualna jest oparta na systemie Linux (najlepiej ubuntu).

  1. Po pierwsze należy włączyć protokół SSH do maszyny wirtualnej.

  2. Teraz zainstaluj aparat platformy Docker.

  3. Teraz pobierz obraz platformy Docker z usługi Docker Hub przy użyciu polecenia "sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".

  4. Teraz, aby uruchomić obraz platformy Docker, użyj polecenia "sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions". Możesz zastąpić ciąg mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions identyfikatorem obrazu. W tym docker_persistent_volume jest nazwą folderu, który zostanie utworzony na maszynie wirtualnej, w której będą przechowywane pliki.

  5. Konfigurowanie parametrów

  6. Po uruchomieniu obrazu platformy Docker zostanie wyświetlony monit o podanie wymaganych parametrów.

  7. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): Netskope HostName Netskope API Token Seek Timestamp (sygnatura czasowa epoki, którą chcesz wyszukać wskaźnik pubsublite, może pozostać pusta) Liczba ponownych prób wycofywania klucza obszaru roboczego identyfikatora obszaru roboczego (liczba ponownych prób błędów związanych z tokenem przed ponownym uruchomieniem wykonania).
    Czas uśpienia wycofywania (liczba sekund do uśpienia przed ponowieniem próby) Limit czasu bezczynności (liczba sekund oczekiwania na dane transakcji internetowych przed ponownym uruchomieniem wykonania)

  8. Teraz wykonywanie zostało uruchomione, ale jest w trybie interaktywnym, więc nie można zatrzymać powłoki. Aby uruchomić je jako proces w tle, zatrzymaj bieżące wykonanie, naciskając klawisze Ctrl+C, a następnie użyj polecenia : "sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions".

  9. Zatrzymywanie kontenera platformy Docker

  10. Użyj polecenia "sudo docker container ps", aby wyświetlić listę uruchomionych kontenerów platformy Docker. Zanotuj identyfikator kontenera.

  11. Teraz zatrzymaj kontener przy użyciu polecenia "sudo docker stop <container-id>".



Sieciowe grupy zabezpieczeń

Obsługiwane przez:Microsoft Corporation

Azure sieciowe grupy zabezpieczeń umożliwiają filtrowanie ruchu sieciowego do i z zasobów Azure w Azure sieci wirtualnej. Sieciowa grupa zabezpieczeń zawiera reguły, które zezwalają na ruch do podsieci sieci wirtualnej, interfejsu sieciowego lub obu tych reguł.

Po włączeniu rejestrowania dla sieciowej grupy zabezpieczeń można zebrać następujące typy informacji dziennika zasobów:

  • Zdarzenie: Rejestrowane są wpisy, dla których reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych na podstawie adresu MAC.
  • Licznik reguł: Zawiera wpisy dotyczące liczby zastosowań każdej reguły sieciowej grupy zabezpieczeń w celu odmowy lub zezwolenia na ruch. Stan tych reguł jest zbierany co 300 sekund.

Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych sieciowej grupy zabezpieczeń do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
AzureDiagnostics Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

NordPass

Obsługiwane przez:NordPass

Zintegrowanie rozwiązania NordPass z rozwiązaniem Microsoft Sentinel SIEM za pośrednictwem interfejsu API umożliwi automatyczne przesyłanie danych dziennika aktywności z nordpass do Microsoft Sentinel i uzyskiwanie szczegółowych informacji w czasie rzeczywistym, takich jak aktywność elementu, wszystkie próby logowania i powiadomienia o zabezpieczeniach.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
NordPassEventLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Upewnij się, że grupa zasobów i obszar roboczy usługi Log Analytics zostały utworzone i zlokalizowane w tym samym regionie, aby można było wdrożyć Azure Functions.
  • Dodaj Microsoft Sentinel do utworzonego obszaru roboczego usługi Log Analytics.
  • Wygeneruj adres URL i token interfejsu API Microsoft Sentinel w panelu Administracja NordPass, aby zakończyć integrację Azure Functions. Należy pamiętać, że do tego celu potrzebne jest konto NordPass Enterprise.
  • Ważne: Ten łącznik używa Azure Functions do pobierania dzienników aktywności z rozwiązania NordPass do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać więcej informacji, zapoznaj się ze stroną cennika Azure Functions.

Instrukcje dotyczące konfiguracji:

Aby kontynuować konfigurację Microsoft Sentinel

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Należy pamiętać, że po pomyślnym wdrożeniu system domyślnie pobiera dane dziennika aktywności co 1 minutę.



Obsydiany łącznik do udostępniania danych

Obsługiwane przez:Obsidian Security

Łącznik Obsidian Datasharing umożliwia odczytywanie nieprzetworzonych danych zdarzeń z obsydianowego udostępniania danych w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ObsidianActivity_CL Nie Nie
ObsidianThreat_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik odczytuje dane z tabel używanych przez usługę Obsidian Datasharing w obszarze roboczym usługi Microsoft Analytics, jeśli opcja przekazywania danych jest włączona w obsydianowym udostępnianiu danych, nieprzetworzone dane zdarzeń są wysyłane do interfejsu API pozyskiwania danych Microsoft Sentinel.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Wypchnięcie dzienników do obszaru roboczego

Użyj następujących parametrów, aby skonfigurować maszynę do wysyłania dzienników do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream działania: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream zagrożeń: <wartość zmiennej podana w czasie instalacji>



Okta Single Sign-On (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych usługi Okta Single Sign-On (SSO) umożliwia pozyskiwanie dzienników inspekcji i zdarzeń z interfejsu API dziennika usługi Okta Sysem do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel codeless Connector Framework i używa interfejsu API dziennika systemu Okta do pobierania zdarzeń. Łącznik obsługuje przekształcenia czasu pozyskiwania oparte na usłudze DCR, które analizują odebrane dane zdarzeń zabezpieczeń w kolumny niestandardowe, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OktaSSO Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Token interfejsu API okta: token interfejsu API okta. Postępuj zgodnie z poniższymi instrukcjami , aby utworzyć plik Zobacz dokumentację , aby dowiedzieć się więcej o interfejsie API dziennika systemu Okta.

Instrukcje dotyczące konfiguracji:

Aby włączyć Sign-On okta single dla Microsoft Sentinel, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

  • Siatka łączników danych (konfigurowana w portalu)



Onapsis Defend: Integrowanie niezrównanego rozwiązania SAP Threat Detection & Intel z Microsoft Sentinel

Obsługiwane przez:Onapsis

Zapewnianie zespołom ds. zabezpieczeń głębokiego wglądu w unikatową aktywność podmiotów wykorzystujących luki w zabezpieczeniach, zero-day i aktora zagrożeń; podejrzane zachowanie użytkownika lub niejawnych testerów; pliki do pobrania poufnych danych; naruszenia kontroli zabezpieczeń; i nie tylko — wszystko wzbogacone przez ekspertów SAP w Firmie Onapsis.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Onapsis_Defend_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Utworzymy regułę zbierania danych (DCR) i zasoby punktu końcowego zbierania danych (DCE). Utworzymy również rejestrację aplikacji Microsoft Entra i przypiszemy do niej wymagane uprawnienia.

Automatyczne wdrażanie zasobów Azure kliknięcie pozycji "Wdrażanie zasobów łącznika wypychanego" spowoduje utworzenie zasobów DCR i DCE. Następnie utworzy rejestrację aplikacji Microsoft Entra przy użyciu wpisu tajnego klienta i udzieli uprawnień do funkcji DCR. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do usługi DCR przy użyciu poświadczeń klienta OAuth w wersji 2.

2. Obsługa szczegółów punktu końcowego zbierania danych i informacji o uwierzytelnianiu w usłudze Onapsis Defend Integration

Udostępnij adres URL punktu końcowego zbierania danych i informacje dotyczące uwierzytelniania administratorowi integracji onapsis Defend w celu skonfigurowania integracji onapsis Defend w celu wysyłania danych do punktu końcowego zbierania danych.

  • Identyfikator dzierżawy | Użyj tej wartości, aby skonfigurować jako identyfikator dzierżawy: <wartość zmiennej podana w czasie instalacji>
  • identyfikator aplikacji Entra | Użyj tej wartości dla identyfikatora klienta: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny aplikacji | Użyj tej wartości dla wartości Token: <zmiennej podanej w czasie instalacji>
  • LogingestionURL | Użyj tej wartości dla parametru adresu URL: <wartość zmiennej podana w czasie instalacji>
  • Niezmienny identyfikator DCR | Użyj tej wartości dla parametru DCR_ID: <wartość zmiennej podana w czasie instalacji>



OneLogin IAM Platform (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych OneLogin umożliwia pozyskiwanie typowych zdarzeń platformy OneLogin IAM Platform do Microsoft Sentinel za pośrednictwem interfejsu API REST przy użyciu interfejsu API zdarzeń OneLogin i interfejsu API użytkowników usługi OneLogin. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OneLoginEventsV2_CL Tak Tak
OneLoginUsersV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia interfejsu API IAM usługi OneLogin: aby utworzyć poświadczenia interfejsu API, postępuj zgodnie z linkiem do dokumentu podanym tutaj, kliknij tutaj. Upewnij się, że masz typ konta właściciela lub administratora konta, aby utworzyć poświadczenia interfejsu API. Po utworzeniu poświadczeń interfejsu API uzyskasz identyfikator klienta i klucz tajny klienta.

Instrukcje dotyczące konfiguracji:

Łączenie platformy onelogin IAM z Microsoft Sentinel

Aby pozyskiwać dane z usługi OneLogin IAM do Microsoft Sentinel, musisz kliknąć przycisk Dodaj domenę poniżej, a następnie wyświetlić okno podręczne, aby wypełnić szczegóły, podać wymagane informacje i kliknąć pozycję Połącz. Punkty końcowe domeny są widoczne w siatce.

  • Siatka łączników danych (konfigurowana w portalu)



OneTrust

Obsługiwane przez:OneTrust, LLC

Łącznik OneTrust dla Microsoft Sentinel zapewnia możliwość wglądu niemal w czasie rzeczywistym w miejsca, w których dane poufne zostały zlokalizowane lub skorygowane w usłudze Google Cloud i innych źródłach danych obsługiwanych przez usługę OneTrust.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OneTrustMetadataV3_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik odczytuje dane z tabel używanych przez usługę OneTrust w obszarze roboczym usługi Microsoft Analytics. Jeśli opcja przekazywania danych usługi OneTrust jest włączona, nieprzetworzone dane zdarzeń mogą być wysyłane do interfejsu API pozyskiwania danych Microsoft Sentinel.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Wypchnięcie dzienników do obszaru roboczego

Użyj następujących parametrów, aby skonfigurować maszynę do wysyłania dzienników do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • OneTrust Metadata Stream Name: <zmienna wartość podana w czasie instalacji>



Otwórz łącznik danych systemów

Obsługiwane przez:Open Systems

Łącznik Microsoft Sentinel interfejsu API dzienników systemu open systems umożliwia pozyskiwanie dzienników open systems do Microsoft Sentinel przy użyciu interfejsu API dzienników systemu open systems.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OpenSystemsZtnaLogs_CL Tak Tak
OpenSystemsFirewallLogs_CL Nie Nie
OpenSystemsAuthenticationLogs_CL Nie Nie
OpenSystemsProxyLogs_CL Nie Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure aplikacje kontenerów, kontrolery DOMENY i kontrolery DOMENY: wymagane są uprawnienia do wdrażania Azure aplikacji kontenera, środowisk zarządzanych, reguł zbierania danych (DCRs) i punktów końcowych zbierania danych (DCE). Zazwyczaj jest to objęte rolą "Współautor" w subskrypcji lub grupie zasobów.
  • Uprawnienia przypisywania ról: uprawnienia do tworzenia przypisań ról (w szczególności "Wydawca metryk monitorowania" na kontrolerach DOMENY) są wymagane dla wdrażającego użytkownika lub jednostki usługi.
  • Wymagane poświadczenia dla szablonu usługi ARM: podczas wdrażania należy podać: punkt końcowy interfejsu API dzienników systemu Open Systems i parametry połączenia oraz poświadczenia jednostki usługi (identyfikator klienta, klucz tajny klienta, identyfikator obiektu/jednostki).
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Niestandardowe wymagania wstępne, jeśli to konieczne, w przeciwnym razie usuń ten tag celny: Opis wszelkich niestandardowych wymagań wstępnych

Instrukcje dotyczące konfiguracji:

KROK 1. Wymagania wstępne

Przed kontynuowaniem upewnij się, że masz następujące informacje i uprawnienia:

  1. Otwórz punkt końcowy interfejsu API dzienników systemów i parametry połączenia.
  2. Poświadczenia jednostki usługi (identyfikator klienta, klucz tajny klienta, identyfikator obiektu/jednostki).
  3. Uprawnienia do wdrażania Azure usługi Container Apps, środowisk zarządzanych, reguł zbierania danych (DCRs), punktów końcowych zbierania danych (DCE) i tworzenia przypisań ról (zazwyczaj roli współautora w subskrypcji lub grupie zasobów).

KROK 2. Wdrażanie łącznika

Wdróż szablon usługi ARM, aby skonfigurować zasoby przetwarzania danych, w tym regułę zbierania danych i skojarzone składniki.

  1. Kliknij przycisk Wdróż, aby Azure poniżej. Spowoduje to dowiezienie Cię do Azure Portal.

    aka.ms

  2. W Azure Portal wybierz odpowiednią subskrypcję, grupę zasobów i region.

  3. Podaj wymagane parametry, w tym parametry zebrane w kroku wymagań wstępnych (szczegóły interfejsu API dzienników systemu otwierania, poświadczenia jednostki usługi itp.), gdy zostanie wyświetlony monit kreatora wdrażania.

  4. Przejrzyj warunki i kliknij pozycję Przejrzyj i utwórz, a następnie utwórz, aby rozpocząć wdrożenie.

KROK 3. Weryfikacja po wdrożeniu

Po pomyślnym wdrożeniu:

  1. Sprawdź, czy aplikacja kontenera Azure z uruchomionym procesorem jest w stanie "Uruchomiona".
  2. Sprawdź tabele OpenSystemsZtnaLogs_CL, OpenSystemsFirewallLogs_CL, OpenSystemsAuthenticationLogs_CLi OpenSystemsProxyLogs_CL w obszarze roboczym usługi Log Analytics pod kątem danych przychodzących. Wyświetlenie dzienników po początkowej konfiguracji może zająć trochę czasu.
  3. Użyj przykładowych zapytań podanych na karcie "Następne kroki" na tej stronie łącznika danych, aby wyświetlić i przeanalizować dzienniki.



OpenAI (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych OpenAI umożliwia pozyskiwanie dzienników inspekcji, danych ukończenia czatu lub obu z organizacji OpenAI do Microsoft Sentinel za pośrednictwem interfejsu API OpenAI. Każdy typ danych używa osobnego sondatora interfejsu API REST i wymaga innego typu klucza interfejsu API: dzienniki inspekcji (akcje użytkownika, zarządzanie kluczami interfejsu API, zmiany w organizacji, zdarzenia zabezpieczeń) wymagają klucza interfejsu API administratora na poziomie organizacji, a ukończenia czatu (użycie modelu, użycie tokenu, metryki wydajności) wymagają klucza interfejsu API na poziomie projektu. Można skonfigurować jeden lub oba typy danych niezależnie. Dzienniki inspekcji są zbierane do niestandardowej tabeli OpenAIAuditLogs_CL (aliasem analizatora OpenAIAuditLogs). Ukończenia czatu są normalizowane w standardowej tabeli ASIM ASimAgentEventLogs (aliasem analizatora OpenAIChatCompletions) na potrzeby monitorowania zabezpieczeń, analizy zgodności i monitorowania użycia. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API OpenAI .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OpenAIAuditLogs Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp do interfejsu API OpenAI: każdy typ danych wymaga innego typu klucza interfejsu API. Klucz interfejsu API administratora na poziomie organizacji jest wymagany dla dzienników inspekcji — można je utworzyć w ustawieniach organizacji OpenAI. Klucz interfejsu API na poziomie projektu jest wymagany do ukończenia czatu — można go utworzyć w ramach określonego projektu na pulpicie nawigacyjnym OpenAI. Dzienniki inspekcji, zakończenia czatu lub oba te dzienniki można skonfigurować niezależnie.

Instrukcje dotyczące konfiguracji:

Informacje o połączeniu

Szczegółowe informacje na temat połączeń używanych do zbierania danych z interfejsu API usługi OpenAI.

  • Dzienniki inspekcji (OpenAIAuditLogs):
  • Użyj kluczy interfejsu API administratora na poziomie organizacji.
  • Rejestrowanie inspekcji musi być włączone w ustawieniach organizacji OpenAI. Właściciele organizacji mogą przejść do obszaru Organization settings>>Data controlsData retention OpenAI — aby włączyć rejestrowanie inspekcji.
  • Po włączeniu rejestrowania inspekcji OpenAI nie można go wyłączyć bez skontaktowania się z pomocą techniczną openai.
  • Zakończenia czatu (ASimAgentEventLogs):
  • Użyj kluczy interfejsu API na poziomie projektu.
  • Zbierane są tylko zakończenia czatu utworzone przy użyciu parametru ustawionego store na true .
  • Ukończenia czatu są normalizowane w standardowej tabeli ASIM ASimAgentEventLogs .
  • Usunięcie zapisanych uzupełnień czatu, gdy ten łącznik jest aktywny, może wymagać rozłączenia i ponownego nawiązania połączenia w celu zresetowania stanu zbierania danych.

Dodawanie połączenia dzienników inspekcji OpenAI

Wprowadź poświadczenia interfejsu API OpenAI, aby zbierać dane dzienników inspekcji z interfejsu API OpenAI.

Dodawanie połączenia uzupełniania czatu OpenAI

Wprowadź poświadczenia interfejsu API OpenAI, aby zbierać dane ukończenia czatu z interfejsu API OpenAI.

  • Siatka łączników danych (konfigurowana w portalu)



Oracle Cloud Infrastructure (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych oracle cloud infrastructure (OCI) umożliwia pozyskiwanie dzienników OCI z Stream OCI do Microsoft Sentinel przy użyciu interfejsu API REST przesyłania strumieniowego OCI.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OCI_LogsV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do interfejsu API przesyłania strumieniowego OCI: wymagany jest dostęp do interfejsu API przesyłania strumieniowego OCI za pośrednictwem kluczy podpisywania interfejsu API.

Instrukcje dotyczące konfiguracji:

Połącz się z interfejsem API przesyłania strumieniowego OCI, aby rozpocząć zbieranie dzienników zdarzeń w Microsoft Sentinel

  1. Zaloguj się do konsoli OCI i uzyskaj dostęp do menu nawigacji.
  2. W menu nawigacji przejdź do pozycji "Analiza & AI" —> "Przesyłanie strumieniowe".
  3. Kliknij pozycję "Utwórz Stream".
  4. Wybierz istniejącą "pulę Stream" lub utwórz nową.
  5. Wprowadź następujące szczegóły:
    • "nazwa Stream"
    • "Przechowywanie"
    • "Liczba partycji"
    • "Całkowita szybkość zapisu"
    • "Łączny współczynnik odczytu" (na podstawie woluminu danych)
  6. W menu nawigacji przejdź do pozycji "Rejestrowanie" —> "Łączniki usług".
  7. Kliknij pozycję "Utwórz łącznik usługi".
  8. Wprowadź następujące szczegóły:
    • "Nazwa łącznika"
    • „Opis”
    • "Przedział zasobów"
  9. Wybierz pozycję "Źródło": "Rejestrowanie".
  10. Wybierz pozycję "Target": "Streaming".
  11. (Opcjonalnie) Skonfiguruj "Grupę dzienników", "Filtry" lub użyj "zapytania wyszukiwania niestandardowego", aby przesyłać strumieniowo tylko wymagane dzienniki.
  12. Skonfiguruj element "Target", wybierając wcześniej utworzony strumień.
  13. Kliknij pozycję "Utwórz".
  14. Postępuj zgodnie z dokumentacją, aby utworzyć plik konfiguracji klucza prywatnego i klucza interfejsu API. Zapisz plik Pem, przekaż frazę (opcjonalnie nie jest on ustawiany podczas korzystania z konsoli OCI w celu wygenerowania pary kluczy podpisywania interfejsu API) i odcisk palca w zabezpieczonym miejscu do użycia podczas nawiązywania połączenia.
  • Siatka łączników danych (konfigurowana w portalu)



Alerty zabezpieczeń orki

Obsługiwane przez:Orca Security

Łącznik Alerty zabezpieczeń Orca umożliwia łatwe eksportowanie dzienników alertów do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
OrcaAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Postępuj zgodnie ze wskazówkami dotyczącymi integrowania dzienników alertów zabezpieczeń Orca z Microsoft Sentinel.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Palo Alto Cortex XDR

Obsługiwane przez:Microsoft Corporation

Łącznik danych Palo Alto Cortex XDR umożliwia pozyskiwanie dzienników z interfejsu API XDR Palo Alto Cortex do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API XDR Palo Alto Cortex do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PaloAltoCortexXDR_Incidents_CL Tak Tak
PaloAltoCortexXDR_Endpoints_CL Tak Tak
PaloAltoCortexXDR_Audit_Management_CL Tak Tak
PaloAltoCortexXDR_Audit_Agent_CL Tak Tak
PaloAltoCortexXDR_Alerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API XDR Palo Alto Cortex Postępuj zgodnie z instrukcjami w celu uzyskania poświadczeń. Możesz również postępować zgodnie z tym przewodnikiem , aby wygenerować klucz interfejsu API.

  1. Pobierz adres URL interfejsu API 1.1. Zaloguj się do aplikacji Palo Alto Cortex XDR [Konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika 1.2. W [Konsoli zarządzania] kliknij pozycję [Ustawienia] —> [Konfiguracje] 1.3. W obszarze [Integracje] kliknij pozycję [Klucze interfejsu API]. 1.4. Na stronie [Ustawienia] kliknij pozycję [Skopiuj adres URL interfejsu API] w prawym górnym rogu.

  2. Pobierz token interfejsu API 2.1. Zaloguj się do aplikacji Palo Alto Cortex XDR [Konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika 2.2. W [Konsoli zarządzania] kliknij pozycję [Ustawienia] —> [Konfiguracje] 2.3. W obszarze [Integracje] kliknij pozycję [Klucze interfejsu API]. 2.4. Na stronie [Ustawienia] kliknij pozycję [Nowy klucz] w prawym górnym rogu. 2.5. Wybierz poziom zabezpieczeń, rolę, wybierz pozycję Standardowa i kliknij pozycję [Generuj] 2.6. Skopiuj token interfejsu API po wygenerowaniu identyfikatora [identyfikatora tokenu interfejsu API] w kolumnie identyfikatora

  • Podstawowy adres URL interfejsu API: (https://api-example.xdr.au.paloaltonetworks.com)
  • Identyfikator klucza interfejsu API: (identyfikator interfejsu API)
  • Token interfejsu API: (token interfejsu API)
  • Włączanie/wyłączanie połączenia



Palo Alto Cortex Xpanse (za pośrednictwem codeless Connector Framework)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Palo Alto Cortex Xpanse pozyskuje dane alertów do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CortexXpanseAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Połącz aplikację Palo Alto Xpanse z Microsoft Sentinel

Aby pozyskiwać dane z aplikacji Palo Alto Cortex Xpanse do Microsoft Sentinel, kliknij pozycję Dodaj domenę. Wypełnij wymagane szczegóły w wyskakującym okienku i kliknij pozycję Połącz. Punkty końcowe połączonej domeny zostaną wyświetlone w poniższej siatce. Aby uzyskać identyfikator uwierzytelniania i klucz interfejsu API, przejdź do pozycji Ustawienia → Konfiguracja → Integracje → klucze interfejsu API w portalu Cortex Xpanse i wygeneruj nowe poświadczenia.

  • Siatka łączników danych (konfigurowana w portalu)



Palo Alto Prisma Cloud CSPM (za pośrednictwem platformy Codeless Connector Framework)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Palo Alto Prisma Cloud CSPM umożliwia nawiązywanie połączenia z wystąpieniem CSPM w chmurze Palo Alto Prisma i pozyskiwanie alertów (https://pan.dev/prisma-cloud/api/cspm/alerts/) & Audit Logs(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PaloAltoPrismaCloudAlertV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie aplikacji Palo Alto Prisma Cloud CSPM Events z Microsoft Sentinel

Aby uzyskać więcej informacji na temat uzyskiwania klucza dostępu do chmury Prisma, klucza tajnego i podstawowego adresu URL, zapoznaj się zsamouczkiem dotyczącym łącznika, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

  • Prisma Cloud Access Key: (Wprowadź klucz dostępu)
  • Prisma Cloud Secret Key: (Wprowadź klucz tajny)
  • Prisma Cloud Base URL: (https://api2.eu.prismacloud.io)
  • Włączanie/wyłączanie połączenia
  • Siatka łączników danych (konfigurowana w portalu)



Palo Alto Prisma Cloud CWPP (przy użyciu interfejsu API REST)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Palo Alto Prisma Cloud CWPP umożliwia nawiązywanie połączenia z wystąpieniem cwpp chmury Palo Alto Prisma i pozyskiwanie alertów do Microsoft Sentinel. Łącznik danych jest oparty na strukturze łączników bez kodu Microsoft Sentinel i używa interfejsu API chmury Prisma do pobierania zdarzeń zabezpieczeń i obsługuje przekształcenia czasu pozyskiwania oparte na usłudze DCR, które analizują odebrane dane zdarzeń zabezpieczeń w kolumny niestandardowe, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PrismaCloudCompute_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • PrismaCloudCompute API Key: Palo Alto Prisma Cloud CWPP Monitor API username and password is required (Klucz interfejsu API PrismaCloudCompute: wymagana jest nazwa użytkownika i hasło interfejsu API monitora CWPP firmy Palo Alto Prisma). Aby uzyskać więcej informacji, zobacz PrismaCloudCompute SIEM API.

Instrukcje dotyczące konfiguracji:

Łączenie aplikacji Palo Alto Prisma Cloud CWPP Security Events z Microsoft Sentinel

Aby włączyć zdarzenia zabezpieczeń CWPP w chmurze Palo Alto Prisma dla Microsoft Sentinel, podaj wymagane informacje poniżej i kliknij pozycję Połącz.

  • Ścieżka do konsoli: (europe-west3.cloud.twistlock.com/{sasid})
  • Prisma Access Key (API): (Prisma Access Key (API))
  • Wpis tajny: (wpis tajny)
  • Włączanie/wyłączanie połączenia



Pathlock Inc.: Wykrywanie zagrożeń i reagowanie na nie w systemie SAP

Obsługiwane przez:Pathlock Inc.

Integracja rozwiązania Pathlock Threat Detection and Response (TD&R) z rozwiązaniem Microsoft Sentinel Solution for SAP zapewnia ujednolicony wgląd w zdarzenia zabezpieczeń SAP w czasie rzeczywistym, umożliwiając organizacjom wykrywanie zagrożeń i reagowanie na nie we wszystkich środowiskach SAP. Ta wbudowana integracja umożliwia centrom operacji zabezpieczeń (SOC) korelowanie alertów specyficznych dla systemu SAP z danymi telemetrycznymi w całym przedsiębiorstwie, tworząc analizę umożliwiającą podjęcie działań, która łączy zabezpieczenia IT z procesami biznesowymi.

Łącznik funkcji Pathlock jest przeznaczony dla oprogramowania SAP i domyślnie przekazuje tylko zdarzenia istotne dla zabezpieczeń, minimalizując wolumin danych i szum, zachowując jednocześnie elastyczność przekazywania wszystkich źródeł dzienników w razie potrzeby. Każde zdarzenie jest wzbogacone o kontekst procesów biznesowych, dzięki czemu Microsoft Sentinel Solution for SAP Analytics może odróżnić wzorce operacyjne od rzeczywistych zagrożeń i ustalić, co naprawdę ma znaczenie.

To podejście oparte na precyzji pomaga zespołom ds. zabezpieczeń znacząco zmniejszyć liczbę wyników fałszywie dodatnich, skoncentrować się na badaniach i przyspieszyć średni czas wykrywania (MTTD) i średni czas odpowiedzi (MTTR). Biblioteka pathlocka składa się z ponad 1500 sygnatur wykrywania specyficznych dla systemu SAP w ponad 70 źródłach dzienników, rozwiązanie ujawnia złożone zachowania ataków, wady konfiguracji i anomalie dostępu.

Dzięki połączeniu analizy kontekstu biznesowego z zaawansowaną analizą funkcja Pathlock umożliwia przedsiębiorstwom zwiększanie dokładności wykrywania, usprawnianie akcji reagowania i utrzymywanie ciągłej kontroli w środowiskach SAP — bez dodawania złożoności i nadmiarowych warstw monitorowania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ABAPAuditLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Utworzymy regułę zbierania danych (DCR) i zasoby punktu końcowego zbierania danych (DCE). Utworzymy również rejestrację aplikacji Microsoft Entra i przypiszemy do niej wymagane uprawnienia.

Automatyczne wdrażanie zasobów Azure kliknięcie pozycji "Wdrażanie zasobów łącznika wypychanego" spowoduje utworzenie zasobów DCR i DCE. Następnie utworzy rejestrację aplikacji Microsoft Entra przy użyciu wpisu tajnego klienta i udzieli uprawnień do funkcji DCR. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do usługi DCR przy użyciu poświadczeń klienta OAuth w wersji 2.

2. Zachowaj szczegóły punktu końcowego zbierania danych i informacje o uwierzytelnianiu w centralnym wystąpieniu funkcji Kontroli aplikacji cyberbezpieczeństwa rozwiązania Pathlock: wykrywanie zagrożeń i reagowanie

Udostępnij adres URL punktu końcowego zbierania danych i informacje dotyczące uwierzytelniania administratorowi funkcji Pathlock, aby skonfigurować przekazywanie wtyczek i odtwarzania w obszarze Wykrywanie zagrożeń i reagowanie na nie w celu wysyłania danych do punktu końcowego zbierania danych. Jeśli potrzebna jest pomoc techniczna, skontaktuj się z pathlock.

  • Użyj tej wartości, aby skonfigurować jako identyfikator dzierżawy w poświadczaniu LogIngestionAPI.: <wartość zmiennej podana w czasie instalacji>
  • Entra identyfikator aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Ta wartość służy do konfigurowania parametru LogsIngestionURL podczas wdrażania wartości zmiennej IFlow.: <podanej w czasie instalacji>
  • Niezmienialny identyfikator DCR: <wartość zmiennej podana w czasie instalacji>



Dzienniki aktywności obwodu 81

Obsługiwane przez:Obwód 81

Łącznik Dzienniki aktywności obwodu 81 umożliwia łatwe łączenie dzienników aktywności obwodu 81 z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Perimeter81_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Zanotuj poniższe wartości i postępuj zgodnie z instrukcjami w tym miejscu, aby połączyć dzienniki aktywności obwodu 81 z Microsoft Sentinel.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Urządzenia fosforu

Obsługiwane przez:Phosphorus Inc.

Łącznik urządzeń fosforu umożliwia fosforowi pozyskiwanie dzienników danych urządzenia do Microsoft Sentinel za pośrednictwem interfejsu API REST fosforu. Łącznik zapewnia wgląd w urządzenia zarejestrowane w języku Phosphorus. Ten łącznik danych pobiera informacje o urządzeniach wraz z odpowiednimi alertami.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Phosphorus_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Poświadczenia/uprawnienia interfejsu API REST: Wymagany jest klucz interfejsu API fosforu . Upewnij się, że klucz interfejsu API skojarzony z użytkownikiem ma włączone uprawnienia Zarządzaj ustawieniami.

Postępuj zgodnie z tymi instrukcjami, aby włączyć uprawnienia Zarządzanie ustawieniami.

  1. Zaloguj się do aplikacji fosforu
  2. Przejdź do pozycji "Ustawienia" —> "Grupy"
  3. Wybierz grupę, w ramach tej grupy należy użytkownik integracji
  4. Przejdź do pozycji "Akcje produktu" —> przełącz się na uprawnienie "Zarządzaj ustawieniami".

Instrukcje dotyczące konfiguracji:

KROK 1 . Kroki konfiguracji interfejsu API fosforu

Postępuj zgodnie z tymi instrukcjami, aby utworzyć klucz interfejsu API fosforu.

  1. Zaloguj się do wystąpienia fosforu
  2. Przejdź do pozycji Ustawienia —> interfejs API
  3. Jeśli klucz interfejsu API nie został jeszcze utworzony, naciśnij przycisk Dodaj , aby utworzyć klucz interfejsu API
  4. Klucz interfejsu API można teraz skopiować i użyć podczas konfiguracji łącznika urządzenia phosphorus

Łączenie aplikacji phosphorus z Microsoft Sentinel

KROK 2 . Wypełnij poniższe szczegóły

WAŻNE: Przed wdrożeniem łącznika danych urządzenia fosforu należy łatwo udostępnić nazwę domeny wystąpienia fosforu, a także klucze interfejsu API fosforu



Ping One (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Ten łącznik pozyskuje dzienniki aktywności inspekcji z platformy tożsamości PingOne do Microsoft Sentinel przy użyciu struktury łączników bez kodu.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
PingOne_AuditActivitiesV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie łącznika Ping One z Microsoft Sentinel

Przed nawiązaniem połączenia z usługą PingOne upewnij się, że zostały spełnione następujące wymagania wstępne. Zapoznaj się z dokumentem , aby uzyskać szczegółowe instrukcje dotyczące konfiguracji, w tym sposób uzyskiwania poświadczeń klienta i identyfikator środowiska.

  1. Poświadczenia klienta Potrzebne będą poświadczenia klienta, w tym identyfikator klienta i klucz tajny klienta.

  2. Identyfikator środowiska
    Aby wygenerować token i zebrać dzienniki z punktu końcowego działań inspekcji

  • Siatka łączników danych (konfigurowana w portalu)



Łącznik danych prancer

Obsługiwane przez:Prancer PenSuiteAI Integration

Łącznik danych Prancer zapewnia możliwość pozyskiwania danych Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] i PAC do przetwarzania za pośrednictwem Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Prancer .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
prancer_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uwzględnij niestandardowe wymagania wstępne, jeśli wymagana jest łączność — w przeciwnym razie usuń zwyczaje: Opis wszelkich niestandardowych wymagań wstępnych

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST programu Prancer w celu ściągania dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

KROK 1. Postępuj zgodnie z dokumentacją witryny dokumentacji usługi Prancer , aby skonfigurować skanowanie za pomocą łącznika chmury platformy Azure.

KROK 2. Po utworzeniu skanowania przejdź do menu "Integracje trzeciej części" na potrzeby skanowania i wybierz pozycję Sentinel.

KROK 3. Utwórz kreatora konfiguracji, aby wybrać miejsce w Azure, do którego powinny zostać wysłane wyniki.

KROK 4. Dane powinny zacząć być przekazywane do Microsoft Sentinel do przetwarzania.



Microsoft Defender Threat Intelligence Premium

Obsługiwane przez:Microsoft Corporation

Microsoft Sentinel zapewnia możliwość importowania analizy zagrożeń wygenerowanej przez firmę Microsoft w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń. Użyj tego łącznika danych, aby zaimportować wskaźniki naruszenia zabezpieczeń (IOCs) z usługi Premium Microsoft Defender Threat Intelligence (MDTI) do Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików itp. Uwaga: jest to płatny łącznik. Aby używać i pozyskiwać z nich dane, kup jednostkę SKU "Dostęp do interfejsu API MDTI" w Centrum partnerskim.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Proofpoint On Demand Email Security (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Proofpoint, Inc.

Łącznik danych proofpoint on demand Email Security zapewnia możliwość pobierania danych proofpoint on Demand Email Protection, umożliwia użytkownikom sprawdzanie możliwości śledzenia wiadomości, monitorowanie aktywności poczty e-mail, zagrożeń i eksfiltracji danych przez osoby atakujące i złośliwych wewnętrznych. Łącznik zapewnia możliwość przeglądania zdarzeń w organizacji w trybie przyspieszonym, pobierania plików dziennika zdarzeń w przyrostach godzinowych dla ostatnich działań.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ProofpointPODMailLog_CL Tak Tak
ProofpointPODMessage_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia/uprawnienia interfejsu API protokołu Websocket: Wymagane są identyfikatory ProofpointClusterID i ProofpointToken . Aby uzyskać więcej informacji, zobacz INTERFEJS API.

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API websocket zasobnika proofpoint

Interfejs API dziennika usługi PoD nie zezwala na używanie tego samego tokenu przez więcej niż jedną sesję w tym samym czasie, dlatego upewnij się, że token nie jest nigdzie używany.

Usługa interfejsu API aplikacji Proofpoint Websocket wymaga licencji zdalnego przekazywania dzienników systemowych. Zapoznaj się z dokumentacją dotyczącą włączania i sprawdzania interfejsu API dziennika usługi PoD. Musisz podać identyfikator klastra i token zabezpieczający.

  1. Pobierz identyfikator klastra 1.1. Zaloguj się do punktu weryfikacji [Konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika

    1.2. W konsoli zarządzania identyfikator klastra jest wyświetlany w prawym górnym rogu.

  2. Pobierz token interfejsu API 2.1. Zaloguj się do punktu weryfikacji [Konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika

2.2. W konsoli zarządzania kliknij pozycję Ustawienia —> API Key Management

2.3. W obszarze Api Key Management kliknij kartę Rejestrowanie poD .

2.4. Pobierz lub utwórz nowy klucz interfejsu API.

  • Identyfikator klastra: (cluster_id)
  • Klucz interfejsu API: (klucz interfejsu API)
  • Włączanie/wyłączanie połączenia



Proofpoint On Demand Email Security (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych proofpoint on demand Email Security zapewnia możliwość pobierania danych proofpoint on Demand Email Protection, umożliwia użytkownikom sprawdzanie możliwości śledzenia wiadomości, monitorowanie aktywności poczty e-mail, zagrożeń i eksfiltracji danych przez osoby atakujące i złośliwych wewnętrznych. Łącznik zapewnia możliwość przeglądania zdarzeń w organizacji w trybie przyspieszonym, pobierania plików dziennika zdarzeń w przyrostach godzinowych dla ostatnich działań.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ProofpointPODMailLog_CL Tak Tak
ProofpointPODMessage_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Poświadczenia/uprawnienia interfejsu API protokołu Websocket: Wymagane są identyfikatory ProofpointClusterID i ProofpointToken . Aby uzyskać więcej informacji, zobacz INTERFEJS API.

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API websocket zasobnika proofpoint

Interfejs API dziennika usługi PoD nie zezwala na używanie tego samego tokenu przez więcej niż jedną sesję w tym samym czasie, dlatego upewnij się, że token nie jest nigdzie używany.

Usługa interfejsu API aplikacji Proofpoint Websocket wymaga licencji zdalnego przekazywania dzienników systemowych. Zapoznaj się z dokumentacją dotyczącą włączania i sprawdzania interfejsu API dziennika usługi PoD. Musisz podać identyfikator klastra i token zabezpieczający.

  1. Pobierz identyfikator klastra 1.1. Zaloguj się do punktu weryfikacji [Konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika

    1.2. W konsoli zarządzania identyfikator klastra jest wyświetlany w prawym górnym rogu.

  2. Pobierz token interfejsu API 2.1. Zaloguj się do punktu weryfikacji [Konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika

2.2. W konsoli zarządzania kliknij pozycję Ustawienia —> API Key Management

2.3. W obszarze Api Key Management kliknij kartę Rejestrowanie poD .

2.4. Pobierz lub utwórz nowy klucz interfejsu API.

  • Identyfikator klastra: (cluster_id)
  • Klucz interfejsu API: (klucz interfejsu API)
  • Włączanie/wyłączanie połączenia



Proofpoint TAP (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Proofpoint, Inc.

Łącznik Proofpoint Targeted Attack Protection (TAP) umożliwia pozyskiwanie dzienników i zdarzeń funkcji Proofpoint TAP do Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia komunikatów i kliknięć w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe oraz ulepszać możliwości monitorowania i badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ProofPointTAPMessagesDeliveredV2_CL Tak Tak
ProofPointTAPMessagesBlockedV2_CL Tak Tak
ProofPointTAPClicksPermittedV2_CL Tak Tak
ProofPointTAPClicksBlockedV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Krokikonfiguracjia

  1. Zaloguj się na pulpicie nawigacyjnym aplikacji Proofpoint TAP
  2. Przejdź do pozycji Ustawienia i przejdź do karty Połączone aplikacje
  3. Kliknij pozycję Utwórz nowe poświadczenie
  4. Podaj nazwę i kliknij pozycję Generuj
  5. Kopiowanie wartości jednostki usługi i wpisu tajnego

UWAGA: Ten łącznik zależy od analizatora opartego na funkcji Kusto, który działa zgodnie z oczekiwaniami proofpointTAPEvent, który jest wdrażany za pomocą rozwiązania Microsoft Sentinel.

  • Jednostka usługi: (123456)
  • Wpis tajny: (123456)
  • Włączanie/wyłączanie połączenia



Proofpoint TAP (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik Proofpoint Targeted Attack Protection (TAP) umożliwia pozyskiwanie dzienników i zdarzeń funkcji Proofpoint TAP do Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia komunikatów i kliknięć w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe oraz ulepszać możliwości monitorowania i badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ProofPointTAPMessagesDeliveredV2_CL Tak Tak
ProofPointTAPMessagesBlockedV2_CL Tak Tak
ProofPointTAPClicksPermittedV2_CL Tak Tak
ProofPointTAPClicksBlockedV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Krokikonfiguracjia

  1. Zaloguj się na pulpicie nawigacyjnym aplikacji Proofpoint TAP
  2. Przejdź do pozycji Ustawienia i przejdź do karty Połączone aplikacje
  3. Kliknij pozycję Utwórz nowe poświadczenie
  4. Podaj nazwę i kliknij pozycję Generuj
  5. Kopiowanie wartości jednostki usługi i wpisu tajnego

UWAGA: Ten łącznik zależy od analizatora opartego na funkcji Kusto, który działa zgodnie z oczekiwaniami proofpointTAPEvent, który jest wdrażany za pomocą rozwiązania Microsoft Sentinel.

  • Jednostka usługi: (123456)
  • Wpis tajny: (123456)
  • Włączanie/wyłączanie połączenia



QscoutAppEventsConnector (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Quokka

Pozyskiwanie zdarzeń aplikacji Qscout do Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
QscoutAppEvents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Qscout Organization ID: Interfejs API wymaga identyfikatora organizacji w Qscout.
  • Klucz interfejsu API organizacji Qscout: interfejs API wymaga klucza interfejsu API organizacji w języku Qscout.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa programu Codeless Connector Framework (CCF) do łączenia się ze źródłami zdarzeń aplikacji Qscout i pozyskiwaniem danych do Microsoft Sentinel

Podaj wymagane wartości poniżej:

  • Identyfikator organizacji Qscout: (123456)
  • Klucz interfejsu API organizacji Qscout: (abcdxyz)
  • Włączanie/wyłączanie połączenia



Baza wiedzy Qualys (za pośrednictwem platformy łączników bezkodowych)

Obsługiwane przez:Microsoft Corporation

Pozyskiwanie danych luk w zabezpieczeniach bazy wiedzy Qualys do Microsoft Sentinel przy użyciu wersji 4.0 interfejsu API Qualys.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
QualysKnowledgeBase Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do interfejsu API qualys: wymaga konta użytkownika qualys z dostępem do odczytu do punktów końcowych bazy wiedzy.

Instrukcje dotyczące konfiguracji:

Krok 1. Ustaw poświadczenia Podaj poświadczenia interfejsu API qualys, aby umożliwić pozyskiwanie danych z bazy wiedzy Qualys.

Aby zebrać dane z maszyny wirtualnej Qualys, należy podać następujące zasoby:

  • Poświadczenia interfejsu API: nazwa użytkownika i hasło dla konta z dostępem do odczytu do interfejsu API bazy wiedzy. Dokładne uprawnienia wymagane są w dokumentacji interfejsu API qualys.

  • Adres URL serwera API: adres URL serwera interfejsu API Qualys specyficzny dla Twojego regionu. Dokładny adres URL serwera interfejsu API dla swojego regionu można znaleźć tutaj

  • Adres URL serwera INTERFEJSÓW API: (Wprowadź adres URL serwera API)

  • Nazwa użytkownika: (wprowadź nazwę użytkownika Qualys)

  • Hasło: (Wprowadź hasło lub token qualys) Krok 2. Ustawianie dowolnych filtrów opcjonalnych

Skonfiguruj opcjonalne filtry, aby dostosować, które luki w zabezpieczeniach są pozyskiwane. Dowiedz się więcej o dostępnych filtrach w dokumentacji interfejsu API qualys.

2a. Filtruj według stanu poprawki Wybierz, aby pokazywać tylko luki w zabezpieczeniach, które można zastosować do poprawek lub których nie można zastosować do poprawek.

2b. Filtruj według metod odnajdywania i typów uwierzytelniania Wybierz, aby otrzymywać tylko luki w zabezpieczeniach przypisane do określonej metody odnajdywania lub mające określone typy uwierzytelniania.

  • Typy uwierzytelniania odnajdywania: (np. Windows, Oracle, Unix, SNMP (rozdzielane przecinkami)) Krok 3: Przejrzyj i włącz przeglądanie ustawień konfiguracji oraz włącz łącznik, aby rozpocząć pozyskiwanie danych bazy wiedzy Qualys w Microsoft Sentinel.

  • Włączanie/wyłączanie połączenia



Baza wiedzy maszyny wirtualnej Qualys (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik KnowledgeBase (KB) rozwiązania Qualys Vulnerability Management (VM) zapewnia możliwość pozyskiwania najnowszych danych luk w zabezpieczeniach z bazy wiedzy Qualys KB do Microsoft Sentinel.

Te dane mogą służyć do korelowania i wzbogacania wykrywania luk w zabezpieczeniach wykrytych przez łącznik danych qualys Vulnerability Management (VM ).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
QualysKB_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Klucz interfejsu API qualys: wymagana jest nazwa użytkownika i hasło interfejsu API maszyny wirtualnej Qualys. Aby uzyskać więcej informacji, zobacz Interfejs API maszyny wirtualnej Qualys.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Log Analytics/Microsoft Sentinel Logs, kliknij pozycję Funkcje i wyszukaj alias QualysVM Knowledgebase i załaduj kod funkcji lub kliknij tutaj, w drugim wierszu zapytania wprowadź nazwy hostów urządzeń Bazy wiedzy QualysVM i inne unikatowe identyfikatory dla strumienia dzienników. Aktywacja funkcji zwykle trwa od 10 do 15 minut po instalacji/aktualizacji rozwiązania.

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Wykonaj kroki, aby użyć aliasu funkcji Kusto QualysKB

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki konfiguracji interfejsu API qualys

  1. Zaloguj się do konsoli zarządzania lukami w zabezpieczeniach qualys przy użyciu konta administratora, wybierz kartę Użytkownicy i podtabę Użytkownicy .
  2. Kliknij menu rozwijane Nowy i wybierz pozycję Użytkownicy.
  3. Utwórz nazwę użytkownika i hasło dla konta interfejsu API.
  4. Na karcie Role użytkownika upewnij się, że rola konta jest ustawiona na Menedżera, a dostęp do interfejsu GUI i interfejsu API jest dozwolony
  5. Wyloguj się z konta administratora i zaloguj się do konsoli przy użyciu nowych poświadczeń interfejsu API w celu weryfikacji, a następnie wyloguj się z konta interfejsu API.
  6. Zaloguj się z powrotem do konsoli przy użyciu konta administratora i zmodyfikuj role użytkowników kont interfejsu API, usuwając dostęp do graficznego interfejsu użytkownika.
  7. Zapisz wszystkie zmiany.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika Qualys KB należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępną nazwę użytkownika i hasło interfejsu API qualys.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Qualys KB przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API, zaktualizuj identyfikator URI i wszelkie dodatkowe parametry filtru identyfikatora URI (ta wartość powinna zawierać symbol "&" między każdym parametrem i nie powinna zawierać żadnych spacji)

  • Wprowadź identyfikator URI odpowiadający twojemu regionowi. Pełną listę adresów URL programu API Server można znaleźć tutaj
  • Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.
  • Uwaga: jeśli wdrożenie nie powiodło się z powodu podjętej nazwy konta magazynu, zmień nazwę funkcji na unikatową wartość i ponownie wdróż.

Opcja 2 — ręczne wdrażanie Azure Functions

Ta metoda zawiera instrukcje krok po kroku dotyczące ręcznego wdrażania łącznika Qualys KB przy użyciu funkcji Azure.

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących siedmiu (7) ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (wielkość liter): apiUsername apiPassword workspaceID workspaceKey uri filterParameters logAnalyticsUri (opcjonalnie)
  • Wprowadź identyfikator URI odpowiadający twojemu regionowi. Pełną listę adresów URL programu API Server można znaleźć tutaj. Wartość uri musi być zgodna z następującym schematem: https://<API Server>/api/2.0
  • Dodaj wszelkie dodatkowe parametry filtru dla zmiennej filterParameters , które muszą zostać dołączone do identyfikatora URI. Wartość filterParameter powinna zawierać symbol "&" między każdym parametrem i nie powinna zawierać żadnych spacji.
  • Uwaga: jeśli używasz Azure Key Vault, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla chmury delegowanej. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Qualys Vulnerability Management (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych qualys Vulnerability Management (VM) zapewnia możliwość pozyskiwania danych wykrywania hosta luk w zabezpieczeniach do Microsoft Sentinel za pośrednictwem interfejsu API Qualys. Łącznik zapewnia wgląd w dane wykrywania hostów ze skanowania vulerability.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
QualysHostDetectionV3_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp i role interfejsu API: upewnij się, że użytkownik maszyny wirtualnej Qualys ma rolę Czytelnik lub wyższa. Jeśli rola to Czytelnik, upewnij się, że dostęp do interfejsu API jest włączony dla konta. Rola audytora nie jest obsługiwana w celu uzyskania dostępu do interfejsu API. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Dotyczącym interfejsu API wykrywania hosta maszyny wirtualnej Qualys i porównania ról użytkownika .

Instrukcje dotyczące konfiguracji:

Łączenie rozwiązania Qualys Vulnerability Management z usługą Microsoft Sentinel

UWAGA: Aby zebrać dane dotyczące wykrywania na podstawie hosta, rozwiń kolumnę DetectionList w tabeli.

Aby zebrać dane z maszyny wirtualnej Qualys, należy podać następujące zasoby

  1. Poświadczenia interfejsu API Do zbierania danych z maszyny wirtualnej Qualys potrzebne są poświadczenia interfejsu API qualys, w tym nazwa użytkownika i hasło.

  2. Adres URL serwera INTERFEJSÓW API Do zbierania danych z maszyny wirtualnej Qualys potrzebny jest adres URL serwera interfejsu API qualys specyficzny dla twojego regionu. Dokładny adres URL serwera interfejsu API dla swojego regionu można znaleźć tutaj

  • Nazwa użytkownika interfejsu API qualys: (wprowadź nazwę użytkownika)
  • Hasło interfejsu API qualys: (wprowadź hasło)
  • Adres URL serwera interfejsu API Qualys: (Wprowadź adres URL serwera API)
  1. Limit obcinania Skonfiguruj maksymalną liczbę rekordów hostów do pobrania na wywołanie interfejsu API (zakres od 20 do 5000). Wyższe wartości mogą poprawić wydajność, ale mogą mieć wpływ na czasy odpowiedzi interfejsu API.
  • Włączanie/wyłączanie połączenia



Radiflow iSID via AMA

Obsługiwane przez:Radiflow

Identyfikator iSID umożliwia monitorowanie rozproszonych sieci ICS pod kątem zmian w topologii i zachowaniu przy użyciu wielu pakietów zabezpieczeń, z których każdy oferuje unikatową możliwość dotyczącą określonego typu działania sieciowego

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
RadiflowEvent Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami [RadiflowEvent], która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

1. Postępuj zgodnie z instrukcjami, aby skonfigurować łącznik danych

Krok A. Konfigurowanie wspólnego formatu zdarzeń (CEF) za pośrednictwem łącznika danych ama

Uwaga: — dzienniki CEF są zbierane tylko z agentów Linux

  1. Przejdź do bloku Microsoft Sentinel obszaru roboczego ---> konfiguracji ---> łącznika danych.

  2. Wyszukaj łącznik danych "Common Event Format (CEF) via AMA" i otwórz go.

  3. Sprawdź, czy nie ma istniejącego obiektu DCR skonfigurowanego do zbierania wymaganych obiektów dzienników, utwórz nowe środowisko DCR (reguła zbierania danych).

    Uwaga: — Zaleca się zainstalowanie minimalnej wersji 1.27 agenta AMA Dowiedz się więcej i upewnij się, że nie ma zduplikowanego kontrolera DCR, ponieważ może to spowodować duplikowanie dziennika.

  4. Uruchom polecenie podane w programie CEF za pośrednictwem strony łącznika danych AMA, aby skonfigurować moduł zbierający CEF na maszynie.

Krok B. Konfigurowanie identyfikatora iSID do wysyłania dzienników przy użyciu programu CEF

Skonfiguruj przekazywanie dzienników przy użyciu funkcji CEF:

  1. Przejdź do sekcji Powiadomienia systemowe w menu Konfiguracja.

  2. W obszarze Dziennik systemowy wybierz pozycję +Dodaj.

  3. W oknie dialogowym Nowy serwer Syslog określ nazwę, adres IP serwera zdalnego, port, transport i wybierz pozycję Format — CEF.

  4. Naciśnij przycisk Zastosuj, aby zamknąć okno dialogowe Dodawanie dziennika systemowego.

Krok C. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python --version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na komputerze

  • Uruchom następujące polecenie, aby zweryfikować łączność:: <wartość zmiennej podana w czasie instalacji>

**2. Zabezpieczanie maszyny **

Upewnij się, że skonfigurowano zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >



Raporty dotyczące zarządzania lukami w zabezpieczeniach platformy Rapid7 Insight (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych raportów maszyn wirtualnych usługi Rapid7 Insight umożliwia pozyskiwanie raportów skanowania i danych luk w zabezpieczeniach do Microsoft Sentinel za pośrednictwem interfejsu API REST z platformy Rapid7 Insight (zarządzanej w chmurze). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
NexposeInsightVMCloud_assets_CL Nie Nie
NexposeInsightVMCloud_vulnerabilities_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API REST: Funkcja InsightVMAPIKey jest wymagana dla interfejsu API REST. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API maszyny wirtualnej usługi Insight w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatorów opartych na funkcji Kusto, która działa zgodnie z oczekiwaniami w przypadku zestawów InsightVMAssets i InsightVMVulnerabilities wdrożonych za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Kroki konfiguracji chmury maszyn wirtualnych insight

Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych obszaru roboczego należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych raportu szybkiego zarządzania lukami w zabezpieczeniach usługi Rapid7 Insight przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź ciąg InsightVMAPIKey, wybierz pozycję InsightVMCloudRegion i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych raportu dotyczącego zarządzania lukami w zabezpieczeniach usługi Rapid7 Insight przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  3. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):
    InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Raporty dotyczące zarządzania lukami w zabezpieczeniach platformy Rapid7 Insight (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych raportów maszyn wirtualnych usługi Rapid7 Insight umożliwia pozyskiwanie raportów skanowania i danych luk w zabezpieczeniach do Microsoft Sentinel za pośrednictwem interfejsu API REST z platformy Rapid7 Insight (zarządzanej w chmurze). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Rapid7InsightVMCloudAssets Tak Tak
Rapid7InsightVMCloudVulnerabilities Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Postępuj zgodnie z instrukcjami, aby skonfigurować łącznik Rapid7 InsightVM.

Uwaga: Uwaga: Ten łącznik danych zależy od analizatorów opartych na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami insightVMAssets i InsightVMVulnerabilities, które są wdrażane za pomocą rozwiązania Microsoft Sentinel.

1. Kroki konfiguracji chmury maszyn wirtualnych Usługi Rapid7 Insight

Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.

  1. W usłudze Rapid7 InsightVM wygeneruj klucz interfejsu API.
  2. Zanotuj swój region i klucz interfejsu API.
  • Region: (nas, ue itp.)
  • Klucz interfejsu API: (klucz interfejsu API)

2. Połącz

Włącz łącznik maszyny wirtualnej usługi Rapid7 Insight.

  • Włączanie/wyłączanie połączenia



Red Sift Events (CCF Push)

Obsługiwane przez:Red Sift

Łącznik Red Sift umożliwia pozyskiwanie zdarzeń analizy sądowej i uwierzytelniania red sift do Microsoft Sentinel przy użyciu modelu wypychania CCF z funkcją DCE + DCR.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
RedSiftAuth_CL Nie Nie
RedSiftEmailForensics_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Wdróż tabelę niestandardową DCE, DCR i Entra rejestrację aplikacji używaną na potrzeby poświadczeń klienta OAuth.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Konfigurowanie elementu webhook Red Sift

Użyj następujących parametrów, aby skonfigurować funkcję Red Sift do wysyłania zdarzeń do Microsoft Sentinel. Użyj odpowiedniej nazwy strumienia dla każdego typu zdarzenia.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Zdarzenia uwierzytelniania Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Email Zdarzenia kryminalistyczne Stream nazwa: <wartość zmiennej podana w czasie instalacji>



RSA ID Plus Administracja Logs Connector

Obsługiwane przez zespółpomocy technicznej RSA

Łącznik RSA ID Plus AdminLogs Connector umożliwia pozyskiwanie zdarzeń inspekcji konsoli Administracja w chmurze do Microsoft Sentinel przy użyciu interfejsów API Administracja w chmurze.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
RSAIDPlus_AdminLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uwierzytelnianie interfejsu API RSA ID Plus: aby uzyskać dostęp do interfejsów API Administracja, wymagany jest prawidłowy token JWT zakodowany w formacie Base64URL, podpisany przy użyciu klucza interfejsu API starszej wersji administracji klienta.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa programu Codeless Connector Framework (CCF) do nawiązywania połączenia z interfejsami API usługi RSA ID Plus Cloud Administracja w celu ściągania dzienników do Microsoft Sentinel.

KROK 1 — Tworzenie starszego klienta interfejsu API Administracja w konsoli Administracja w chmurze.

Wykonaj kroki wymienione na tej stronie.

KROK 2 — Generowanie tokenu JWT zakodowanej w formacie Base64URL.

Wykonaj kroki wymienione na tej stronie w nagłówku "Interfejs API starszej wersji administracyjnej".

KROK 3 — Konfigurowanie interfejsu API usługi Cloud Administracja w celu rozpoczęcia pozyskiwania dzienników zdarzeń Administracja do Microsoft Sentinel.

Podaj wymagane wartości poniżej:

  • Adres URL interfejsu API Administracja: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
  • Token JWT: (Wprowadź token JWT)

KROK 4 — Kliknij pozycję Połącz

Sprawdź, czy wszystkie powyższe pola zostały poprawnie wypełnione. Naciśnij pozycję Połącz, aby uruchomić łącznik.

  • Włączanie/wyłączanie połączenia



Łącznik danych usługi Rubrik Security Cloud (przy użyciu Azure Functions)

Obsługiwane przez:Rubrik

Łącznik danych usługi Rubrik Security Cloud umożliwia zespołom ds. operacji zabezpieczeń integrowanie szczegółowych informacji z usług rozwiązania Rubrik Data Observability w Microsoft Sentinel. Szczegółowe informacje obejmują identyfikację nietypowego zachowania systemu plików związanego z oprogramowaniem wymuszającym okup i masowym usuwaniem, ocenę promienia wybuchu ataku wymuszającego okup oraz poufnych operatorów danych w celu nadania priorytetów i dokładniejszego zbadania potencjalnych zdarzeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Rubrik_Anomaly_Data_CL Tak Tak
Rubrik_Ransomware_Data_CL Tak Tak
Rubrik_ThreatHunt_Data_CL Tak Tak
Rubrik_Events_Data_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, aby nawiązać połączenie z elementem webhook Rubrik, który wypycha swoje dzienniki do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych rubrik Microsoft Sentinel, mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących) łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Rubrik.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Anomalie klucza obszaru roboczego identyfikatora obszaru roboczego nazwy funkcjiTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych rubrik Microsoft Sentinel przy użyciu Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. RubrikXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.8 lub nowszą.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://< CustomerId.ods.opinsights.azure.us>.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Kroki po wdrożeniu

1) Pobieranie punktu końcowego aplikacji funkcji

  1. Przejdź do strony przegląd funkcji Azure i kliknij kartę "Funkcje".
  2. Kliknij funkcję o nazwie "RubrikHttpStarter".
  3. Przejdź do pozycji "GetFunctionurl" i skopiuj adres URL funkcji.

2) Dodaj element webhook w aplikacji RubrikSecurityCloud, aby wysyłać dane do Microsoft Sentinel.

Postępuj zgodnie z instrukcjami przewodnika użytkownika firmy Rubrik, aby dodać element Webhook , aby rozpocząć odbieranie informacji o zdarzeniu

  1. Wybierz Microsoft Sentinel jako dostawcę elementu webhook
  2. Wprowadź żądaną nazwę elementu webhook
  3. Wprowadź część adresu URL ze skopiowanego adresu URL funkcji jako punkt końcowy adresu URL elementu webhook i zastąp ciąg {functionname} ciągiem "RubrikAnomalyOrchestrator" dla rozwiązania rubrik Microsoft Sentinel
  4. Wybierz typ zdarzenia jako anomalię
  5. Wybierz następujące poziomy ważności: Krytyczne, Ostrzeżenie, Informacyjne
  6. W razie potrzeby wybierz wiele typów dzienników podczas uruchamiania polecenia "RubrikEventsOrchestrator"
  7. Powtórz te same kroki, aby dodać elementy webhook do analizy wykrywania anomalii, wyszukiwania zagrożeń i innych zdarzeń.

UWAGA: podczas dodawania elementów webhook do analizy wykrywania anomalii, wyszukiwania zagrożeń i innych zdarzeń zastąp element {functionname} odpowiednio wartościami "RubrikRansomwareOrchestrator", "RubrikThreatHuntOrchestrator" i "RubrikEventsOrchestrator" odpowiednio w skopiowanym adresie URL funkcji.

Teraz skończymy z konfiguracją elementu webhook rubrik. Po wyzwoleniu zdarzeń elementu webhook powinno być możliwe wyświetlenie tabeli anomalii, analizy wykrywania anomalii, zdarzeń wyszukiwania zagrożeń i innych zdarzeń w tabeli obszaru roboczego Usługi LogAnalytics o nazwie "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" i "Rubrik_Events_Data_CL".



Zabezpieczenia SaaS

Obsługiwane przez:Valence Security

Łączy platformę zabezpieczeń Valence SaaS Azure Log Analytics za pośrednictwem interfejsu API REST

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ValenceAlert_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Krok 1. Przeczytaj szczegółową dokumentację

Proces instalacji został szczegółowo udokumentowany w baza wiedzy firmy Valence Security. Użytkownik powinien zapoznać się z tą dokumentacją, aby zrozumieć instalację i debugowanie integracji.

Krok 2. Pobieranie poświadczeń dostępu do obszaru roboczego

Pierwszym krokiem instalacji jest pobranie identyfikatora obszaru roboczego i klucza podstawowego z platformy Microsoft Sentinel. Skopiuj poniższe wartości i zapisz je w celu skonfigurowania integracji usługi przesyłania dalej dzienników interfejsu API.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Krok 3. Konfigurowanie integracji Sentinel na platformie zabezpieczeń Valence

Jako administrator platformy zabezpieczeń Valence przejdź do ekranu konfiguracji, kliknij pozycję Połącz na karcie Integracja rozwiązania SIEM i wybierz pozycję Microsoft Sentinel. Wklej wartości z poprzedniego kroku i kliknij pozycję Połącz. Funkcja Valence przetestuje połączenie, więc po zgłoszeniu powodzenia połączenie zadziałało.



Dzienniki inspekcji usługi Salesforce (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Dzienniki inspekcji usługi Salesforce umożliwia pozyskiwanie zmian administracyjnych i modyfikacji konfiguracji z organizacji usługi Salesforce do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pozyskiwanie dzienników inspekcji konfiguracji i zdarzeń historii logowania do Microsoft Sentinel które śledzą zmiany wprowadzone w konfiguracji organizacji, co pomaga zachować widoczność zabezpieczeń i zgodności.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SalesforceAuditTrail Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp interfejsu API usługi Salesforce Service w chmurze: wymagany jest dostęp do interfejsu API chmury usługi Salesforce Service za pośrednictwem połączonej aplikacji.

Instrukcje dotyczące konfiguracji:

Łączenie usługi Salesforce z Microsoft Sentinel

Postępuj zgodnie z instrukcjami: Tworzenie połączonej aplikacji w usłudze Salesforce for OAuth i Konfigurowanie połączonej aplikacji dla przepływu poświadczeń klienta OAuth 2.0 , aby utworzyć połączoną aplikację z dostępem do interfejsu API chmury usługi Salesforce. Te instrukcje umożliwiają uzyskanie klucza konsumenta i klucza tajnego konsumenta. W polu Nazwa domeny usługi Salesforce przejdź do obszaru Konfiguracja, wpisz Ciąg Moja domena w polu Szybkie wyszukiwanie i wybierz pozycję Moja domena, aby wyświetlić szczegóły domeny. Pamiętaj, aby wprowadzić nazwę domeny bez ukośnika końcowego (np. https://your-domain.my.salesforce.com). Wypełnij poniższy formularz, korzystając z tych informacji.

  • Siatka łączników danych (konfigurowana w portalu)



Łącznik monitorowania zdarzeń usługi SalesForce Real-Time (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik usługi Salesforce Real-Time Event Monitoring (RTEM) umożliwia pozyskiwanie informacji o zdarzeniach w czasie rzeczywistym usługi Salesforce przy użyciu usługi Object for Event Storage do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia przeglądanie zdarzeń w organizacji w trybie przyspieszonym, uzyskiwanie danych zdarzeń w czasie rzeczywistym dla ostatnich działań.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SalesForceRealTimeEventMonitoring_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp do interfejsu API monitorowania zdarzeń usługi Salesforce: wymagany jest dostęp do interfejsu API monitorowania zdarzeń usługi Salesforce za pośrednictwem połączonej aplikacji.

Instrukcje dotyczące konfiguracji:

Połącz się z usługą Salesforce Event Monitoring, aby rozpocząć zbieranie dzienników monitorowania zdarzeń w czasie rzeczywistym w Microsoft Sentinel

Postępuj zgodnie z instrukcjami: Tworzenie połączonej aplikacji w usłudze Salesforce for OAuth i Konfigurowanie połączonej aplikacji dla przepływu poświadczeń klienta OAuth 2.0 , aby utworzyć połączoną aplikację z dostępem do interfejsu API monitorowania zdarzeń usługi Salesforce. Te instrukcje umożliwiają uzyskanie klucza konsumenta i klucza tajnego konsumenta. W polu Nazwa domeny usługi Salesforce przejdź do obszaru Konfiguracja, wpisz Ciąg Moja domena w polu Szybkie wyszukiwanie i wybierz pozycję Moja domena, aby wyświetlić szczegóły domeny. Pamiętaj, aby wprowadzić nazwę domeny bez ukośnika końcowego (np. https://your-domain.my.salesforce.com). Wypełnij poniższy formularz, korzystając z tych informacji.

Uwaga: Wymagana subskrypcja dodatku: Twoje konto usługi Salesforce powinno zawierać subskrypcje dodatku Salesforce Shield lub Salesforce Event Monitoring, aby ten łącznik działał.

  • Siatka łączników danych (konfigurowana w portalu)



Salesforce Service Cloud (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych usługi Salesforce Service Cloud umożliwia pozyskiwanie informacji o zdarzeniach operacyjnych usługi Salesforce do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik zapewnia możliwość przeglądania zdarzeń w organizacji w trybie przyspieszonym, pobierania plików dziennika zdarzeń w przyrostach godzinowych dla ostatnich działań.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SalesforceServiceCloudV3_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp interfejsu API usługi Salesforce Service w chmurze: wymagany jest dostęp do interfejsu API chmury usługi Salesforce Service za pośrednictwem połączonej aplikacji.

Instrukcje dotyczące konfiguracji:

Połącz się z interfejsem API chmury usługi Salesforce Service, aby rozpocząć zbieranie dzienników zdarzeń w Microsoft Sentinel

Postępuj zgodnie z instrukcjami: Tworzenie połączonej aplikacji w usłudze Salesforce for OAuth i Konfigurowanie połączonej aplikacji dla przepływu poświadczeń klienta OAuth 2.0 , aby utworzyć połączoną aplikację z dostępem do interfejsu API chmury usługi Salesforce. Te instrukcje umożliwiają uzyskanie klucza konsumenta i klucza tajnego konsumenta. W polu Nazwa domeny usługi Salesforce przejdź do obszaru Konfiguracja, wpisz Ciąg Moja domena w polu Szybkie wyszukiwanie i wybierz pozycję Moja domena, aby wyświetlić szczegóły domeny. Pamiętaj, aby wprowadzić nazwę domeny bez ukośnika końcowego (np. https://your-domain.my.salesforce.com). Wypełnij poniższy formularz, korzystając z tych informacji.

Uwaga: Uwaga: rozwiązanie w wersji 3.2.0 i nowszych używa tabeli SalesforceServiceCloudV3_CL. Analizator został odpowiednio zaktualizowany.

  • Siatka łączników danych (konfigurowana w portalu)



Analiza zasobów rozwiązania Samsung Knox

Obsługiwane przez:Samsung Electronics Co., Ltd.

Łącznik danych analizy zasobów rozwiązania Samsung Knox umożliwia scentralizowanie zdarzeń i dzienników zabezpieczeń urządzeń przenośnych w celu wyświetlania dostosowanych szczegółowych informacji przy użyciu szablonu skoroszytu i identyfikowania zdarzeń na podstawie szablonów reguł analizy.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Samsung_Knox_Audit_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Ten łącznik danych używa interfejsu API pozyskiwania dzienników firmy Microsoft do wypychania zdarzeń zabezpieczeń do Microsoft Sentinel z rozwiązania Samsung Knox Asset Intelligence (KAI).

KROK 1 — Tworzenie i rejestrowanie aplikacji Entra

Uwaga: ten łącznik danych może obsługiwać uwierzytelnianie oparte na certyfikatach lub kluczach tajnych klienta. W przypadku uwierzytelniania opartego na certyfikatach możesz pobrać certyfikat z podpisem urzędu certyfikacji firmy Samsung (klucz publiczny) z portalu dokumentacji KAI. W przypadku uwierzytelniania opartego na wpisie tajnym klienta można utworzyć wpis tajny podczas rejestracji aplikacji Entra. Upewnij się, że wartość klucza tajnego klienta jest kopiowana natychmiast po jej wygenerowaniu.

WAŻNE: Zapisz wartości identyfikatora dzierżawy (katalogu) i identyfikatora klienta (aplikacji). Jeśli uwierzytelnianie oparte na kluczach tajnych klienta jest włączone, zapisz klucz tajny klienta (wartość wpisu tajnego) skojarzony z aplikacją Entra.

KROK 2 — Automatyzowanie wdrażania tego łącznika danych przy użyciu poniższego szablonu Azure Resource Manager (ARM)

WAŻNE: Przed wdrożeniem łącznika danych skopiuj poniższą nazwę obszaru roboczego skojarzoną z wystąpieniem Microsoft Sentinel (również usługi Log Analytics).

  • Nazwa obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

  1. Kliknij poniższy przycisk, aby zainstalować rozwiązanie Samsung Knox Intelligence Solution.

    aka.ms\n2. Podaj następujące wymagane pola: Nazwa obszaru roboczego usługi Log Analytics, lokalizacja obszaru roboczego usługi Log Analytics, subskrypcja obszaru roboczego usługi Log Analytics (ID) i grupa zasobów obszaru roboczego usługi Log Analytics.

KROK 3 — Uzyskiwanie szczegółów zbierania danych Microsoft Sentinel

Po wdrożeniu szablonu usługi ARM przejdź do pozycji Reguły https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionruleszbierania danych ? i zapisz wartości skojarzone z niezmiennym identyfikatorem (DCR) i punktem końcowym zbierania danych (DCE).

WAŻNE: Aby włączyć kompleksową integrację, informacje dotyczące Microsoft Sentinel DCE i DCR są wymagane do konfiguracji w portalu analizy zasobów rozwiązania Samsung Knox (KROK 4).

Upewnij się, że aplikacja Entra utworzona w kroku 1 ma uprawnienia do korzystania z funkcji DCR utworzonej w celu wysyłania danych do usługi DCE. Zapoznaj się z tematem /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr, aby odpowiednio przypisać uprawnienia.

KROK 4 — Nawiązywanie połączenia z rozwiązaniem Samsung Knox Asset Intelligence w celu skonfigurowania Microsoft Sentinel wypychania wybierz pozycję Zdarzenia zabezpieczeń systemu Knox jako alerty

  1. Zaloguj się do portalu administracyjnego usługi Knox Asset Intelligence i przejdź do pozycji Ustawienia pulpitu nawigacyjnego; jest ona dostępna w prawym górnym rogu portalu.

Uwaga: upewnij się, że użytkownik logowania ma dostęp do uprawnień "Zabezpieczenia" i "Zarządzanie widokiem pulpitu nawigacyjnego i zbieraniem danych".

  1. Kliknij kartę Zabezpieczenia, aby wyświetlić ustawienia dzienników zabezpieczeń Microsoft Sentinel Integration i Knox.

  2. Na stronie Integracja operacji zabezpieczeń przejdź do pozycji "Włącz integrację Microsoft Sentinel" i wprowadź odpowiednie wartości w wymaganych polach.

a. Na podstawie używanej metody uwierzytelniania zapoznaj się z informacjami zapisanymi w kroku 1 podczas rejestrowania aplikacji Entra.

b. Aby uzyskać Microsoft Sentinel DCE i DCR, zapoznaj się z informacjami zapisanymi w kroku 3.

  1. Kliknij pozycję "Testuj połączenie" i upewnij się, że połączenie zakończyło się pomyślnie.

  2. Przed zapisaniem skonfiguruj dzienniki zabezpieczeń systemu Knox, wybierając opcję Konfiguracja podstawowa lub zaawansowana (domyślnie: Essential).

  3. Aby ukończyć integrację Microsoft Sentinel, kliknij przycisk "Zapisz".



SAP BTP

Obsługiwane przez:Microsoft Corporation

Platforma SAP Business Technology Platform (SAP BTP) łączy zarządzanie danymi, analizę, sztuczną inteligencję, tworzenie aplikacji, automatyzację i integrację w jednym, ujednoliconym środowisku.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SAPBTPAuditLog_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Identyfikator klienta i klucz tajny klienta dla interfejsu API pobierania inspekcji: włącz dostęp do interfejsu API w usłudze BTP.

Instrukcje dotyczące konfiguracji:

Krok 1. Kroki konfiguracji interfejsu API pobierania inspekcji SAP BTP

Wykonaj kroki podane przez oprogramowanie SAP, zobacz Audit Log Retrieval API for Global Accounts in the Cloud Foundry Environment (Interfejs API pobierania dzienników inspekcji dla kont globalnych w środowisku Cloud Foundry). Zanotuj adres URL (adres URL interfejsu API pobierania inspekcji), adres uaa.url (adres URL konta użytkownika i serwera uwierzytelniania) oraz skojarzony identyfikator uaa.clientid.

UWAGA: Możesz masowo dołączać podkonta BTP przy użyciu dostarczonych narzędzi.

Łączenie zdarzeń z sap btp do Microsoft Sentinel

Nawiązywanie połączenia przy użyciu poświadczeń klienta OAuth

Subkont

Każdy wiersz reprezentuje połączone podkonta

  • Siatka łączników danych (konfigurowana w portalu)



SAP Enterprise Threat Detection, wersja w chmurze

Obsługiwane przez:SAP

Łącznik danych SAP Enterprise Threat Detection, cloud edition (ETD) umożliwia pozyskiwanie alertów zabezpieczeń z etd do Microsoft Sentinel, obsługując krzyżową korelację, alerty i wyszukiwanie zagrożeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SAPETDAlerts_CL Tak Tak
SAPETDInvestigations_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Identyfikator klienta i klucz tajny klienta dla interfejsu API pobierania ETD: włącz dostęp do interfejsu API w systemie ETD.

Instrukcje dotyczące konfiguracji:

Krok 1. Kroki konfiguracji interfejsu API pobierania inspekcji SAP ETD

Wykonaj kroki podane przez platformę SAP , zobacz dokumentację ETD. Zanotuj adres URL (adres URL interfejsu API pobierania inspekcji), adres uaa.url (adres URL konta użytkownika i serwera uwierzytelniania) oraz skojarzony identyfikator uaa.clientid.

UWAGA: Możesz dołączyć co najmniej jedno podkonta ETD, wykonując kroki podane przez platformę SAP , zobacz dokumentację ETD. Dodaj połączenie dla każdego konta podrzędnego.

WSKAZÓWKA: Aby uzyskać dodatkowe informacje, użyj udostępnionej serii blogów .

Łączenie zdarzeń z systemu SAP ETD z Microsoft Sentinel

Nawiązywanie połączenia przy użyciu poświadczeń klienta OAuth

Konta ETD

Każdy wiersz reprezentuje połączone konto ETD

  • Siatka łączników danych (konfigurowana w portalu)



SAP LogServ (RISE), wersja prywatna S/4HANA Cloud

Obsługiwane przez:SAP

SAP LogServ to usługa SAP Enterprise Cloud Services (ECS) mająca na celu zbieranie, przechowywanie, przekazywanie i dostęp do dzienników. Usługa LogServ scentralizuje dzienniki ze wszystkich systemów, aplikacji i usług ECS używanych przez zarejestrowanego klienta.
Główne funkcje obejmują:
Zbieranie dzienników niemal w czasie rzeczywistym: możliwość integracji z Microsoft Sentinel jako rozwiązanie SIEM.
Usługa LogServ uzupełnia istniejące monitorowanie i wykrywanie zagrożeń w warstwie aplikacji SAP w Microsoft Sentinel z typami dzienników należącymi do systemu SAP ECS jako dostawca systemu. Obejmuje to dzienniki, takie jak: dziennik inspekcji zabezpieczeń SAP (AS ABAP), baza danych HANA, ŚRODOWISKO JAVA AS, ICM, sap web dispatcher, sap cloud connector, system operacyjny, sap gateway, baza danych innej firmy, sieć, DNS, serwer proxy, zapora

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SAPLogServ_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Utworzymy regułę zbierania danych (DCR) i zasoby punktu końcowego zbierania danych (DCE). Utworzymy również rejestrację aplikacji Microsoft Entra i przypiszemy do niej wymagane uprawnienia.

Automatyczne wdrażanie zasobów Azure kliknięcie pozycji "Wdrażanie zasobów łącznika wypychanego" spowoduje utworzenie zasobów DCR i DCE. Następnie utworzy rejestrację aplikacji Microsoft Entra przy użyciu wpisu tajnego klienta i udzieli uprawnień do funkcji DCR. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do usługi DCR przy użyciu poświadczeń klienta OAuth w wersji 2.

2. Obsługa szczegółów punktu końcowego zbierania danych i informacji o uwierzytelnianiu w usłudze SAP LogServ

Udostępnij adres URL punktu końcowego zbierania danych i informacje o uwierzytelnianiu administratorowi sap logserv w celu skonfigurowania serwera SAP LogServ do wysyłania danych do punktu końcowego zbierania danych.

Dowiedz się więcej z tej serii blogów.

  • Użyj tej wartości, aby skonfigurować jako identyfikator dzierżawy w poświadczaniu LogIngestionAPI.: <wartość zmiennej podana w czasie instalacji>
  • Entra identyfikator aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Ta wartość służy do konfigurowania parametru LogsIngestionURL podczas wdrażania wartości zmiennej IFlow.: <podanej w czasie instalacji>
  • Niezmienialny identyfikator DCR: <wartość zmiennej podana w czasie instalacji>



SAP S/4HANA Cloud Public Edition

Obsługiwane przez:SAP

Łącznik danych SAP S/4HANA Cloud Public Edition (GROW with SAP) umożliwia pozyskiwanie dziennika inspekcji zabezpieczeń sap do rozwiązania Microsoft Sentinel Solution for SAP, obsługując korelację krzyżową, alerty i wyszukiwanie zagrożeń. Szukasz alternatywnych mechanizmów uwierzytelniania? Zobacz tutaj.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ABAPAuditLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Identyfikator klienta i klucz tajny klienta dla interfejsu API pobierania inspekcji: włącz dostęp do interfejsu API w usłudze BTP.
  • Microsoft Sentinel dla pakietu zawartości SAP (ponad 60 reguł analitycznych, skoroszytów, analizatorów i nie tylko): wdrażanie z centrum zawartości Microsoft Sentinel.

Instrukcje dotyczące konfiguracji:

Krok 1. Kroki konfiguracji rozwiązania SAP S/4HANA Cloud Public Edition

Aby nawiązać połączenie z platformą SAP S/4HANA Cloud Public Edition, potrzebne są następujące elementy:

  1. Konfigurowanie rozwiązania komunikacyjnego dla scenariusza komunikacji SAP_COM_0750

  2. Adres URL interfejsu API dzierżawy SAP S/4HANA Cloud Public Edition

  3. Prawidłowy użytkownik komunikacji (nazwa użytkownika i hasło) dla systemu SAP S/4HANA Cloud

  4. Odpowiednie autoryzacje umożliwiające dostęp do danych dziennika inspekcji za pośrednictwem usług OData

UWAGA: Ten łącznik obsługuje uwierzytelnianie podstawowe. Szukasz alternatywnych mechanizmów uwierzytelniania? Zobacz tutaj

Łączenie zdarzeń z rozwiązania SAP S/4HANA Cloud Public Edition z rozwiązaniem Microsoft Sentinel dla oprogramowania SAP

Nawiązywanie połączenia przy użyciu uwierzytelniania podstawowego

Połączenia S/4HANA Cloud Public Edition

Każdy wiersz reprezentuje połączony system S/4HANA Cloud Public Edition

  • Siatka łączników danych (konfigurowana w portalu)



Rozwiązanie SecurityBridge dla systemu SAP

Obsługiwane przez:SecurityBridge

Usługa SecurityBridge zwiększa bezpieczeństwo systemu SAP, bezproblemowo integrując się z Microsoft Sentinel, umożliwiając monitorowanie w czasie rzeczywistym i wykrywanie zagrożeń w środowiskach SAP. Ta integracja umożliwia usłudze Security Operations Centers (SOC) konsolidowanie zdarzeń zabezpieczeń SAP z innymi danymi organizacyjnymi, zapewniając ujednolicony widok krajobrazu zagrożeń. Korzystając z analiz opartych na sztucznej inteligencji i Security Copilot firmy Microsoft, usługa SecurityBridge identyfikuje zaawansowane wzorce ataków i luki w zabezpieczeniach w aplikacjach SAP, w tym skanowanie kodu ABAP i oceny konfiguracji. Rozwiązanie obsługuje skalowalne wdrożenia w złożonych środowiskach SAP, zarówno lokalnych, w chmurze, jak i środowiskach hybrydowych. Dzięki wypełnieniu luki między zespołami ds. zabezpieczeń IT i SAP usługa SecurityBridge umożliwia organizacjom aktywne wykrywanie, badanie i reagowanie na zagrożenia, zwiększając ogólną postawę zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ABAPAuditLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Utworzymy regułę zbierania danych (DCR) i zasoby punktu końcowego zbierania danych (DCE). Utworzymy również rejestrację aplikacji Microsoft Entra i przypiszemy do niej wymagane uprawnienia.

Automatyczne wdrażanie zasobów Azure kliknięcie pozycji "Wdrażanie zasobów łącznika wypychanego" spowoduje utworzenie zasobów DCR i DCE. Następnie utworzy rejestrację aplikacji Microsoft Entra przy użyciu wpisu tajnego klienta i udzieli uprawnień do funkcji DCR. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do usługi DCR przy użyciu poświadczeń klienta OAuth w wersji 2.

2. Obsługa szczegółów punktu końcowego zbierania danych i informacji uwierzytelniania w usłudze SecurityBridge

Udostępnij adres URL punktu końcowego zbierania danych i informacje o uwierzytelnianiu administratorowi usługi SecurityBridge, aby skonfigurować usługę Securitybridge do wysyłania danych do punktu końcowego zbierania danych.

Dowiedz się więcej na naszej stronie KB https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

  • Użyj tej wartości, aby skonfigurować jako identyfikator dzierżawy w poświadczaniu LogIngestionAPI.: <wartość zmiennej podana w czasie instalacji>
  • Entra identyfikator aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Ta wartość służy do konfigurowania parametru LogsIngestionURL podczas wdrażania wartości zmiennej IFlow.: <podanej w czasie instalacji>
  • Niezmienialny identyfikator DCR: <wartość zmiennej podana w czasie instalacji>
  • Sentinel identyfikatora Stream SAP: <wartość zmiennej podana w czasie instalacji>
  • identyfikator SecurityBridge_CL Stream: <wartość zmiennej podana w czasie instalacji>



Dzienniki Semperis Lightning

Obsługiwane przez:Semperis

Łącznik Semperis Lightning używa Azure Functions do pozyskiwania danych zabezpieczeń tożsamości Semperis Lightning do Microsoft Sentinel. Łącznik wdraża funkcję Azure i zbiera dane w niestandardowych tabelach usługi Log Analytics w celu badania i wyszukiwania zagrożeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
LightningTier0Nodes_CL Nie Nie
LightningAttackPaths_CL Nie Nie
LightningIOEResults_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API Semperis Lightning: klucz interfejsu API Semperis Lightning i wybrana strefa (na lub eu) są wymagane do uwierzytelnienia łącznika w usłudze Semperis Lightning.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z usługą Semperis Lightning i ściągania danych do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy autoryzacji obszaru roboczego i interfejsu API w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

Przed wdrożeniem łącznika upewnij się, że obszar roboczy został dodany do Microsoft Sentinel.

KROK 1 — Konfigurowanie dostępu dla aplikacji Semperis Lightning

  1. Zaloguj się do dzierżawy aplikacji Semperis Lightning.
  2. Utwórz lub pobierz prawidłowy klucz interfejsu API Semperis na potrzeby dostępu do łącznika.
  3. Potwierdź wartość strefy Semperis (na dla Ameryka Północna lub eu for Europe) do użycia podczas wdrażania.

KROK 2 — Wdrażanie łącznika "Semperis Lightning Logs" i skojarzonej funkcji Azure

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

KROK 3 . Ustawianie parametrów łącznika

  1. Wybierz preferowaną subskrypcję i istniejącą grupę zasobów.
  2. Wprowadź istniejący identyfikator zasobu obszaru roboczego usługi Log Analytics należący do grupy zasobów.
  3. Kliknij Dalej.
  4. Wprowadź klucz interfejsu API Semperis i wybierz strefę Semperis.
  5. Opcjonalnie dostosuj harmonogram łącznika (domyślnie: co 1 godzinę).
  6. Przejrzyj ustawienia i kliknij pozycję Utwórz.



SentinelOne (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych SentinelOne umożliwia pozyskiwanie dzienników z interfejsu API SentinelOne do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API SentinelOne do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SentinelOneActivities_CL Tak Tak
SentinelOneAgents_CL Tak Tak
SentinelOneGroups_CL Tak Tak
SentinelOneThreats_CL Tak Tak
SentinelOneAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API SentinelOne Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia. Możesz również skorzystać z przewodnika , aby wygenerować klucz interfejsu API.

  1. Pobierz adres URL zarządzania sentinelOne 1.1. Zaloguj się do usługi SentinelOne [konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika 1.2. W [Konsoli zarządzania] skopiuj link adresu URL powyżej bez ścieżki adresu URL.

  2. Pobierz token interfejsu API 2.1. Zaloguj się do usługi SentinelOne [konsola zarządzania] przy użyciu Administracja poświadczeń użytkownika 2.2. W [Konsoli zarządzania] kliknij pozycję [Ustawienia] 2.3. W widoku [Ustawienia] kliknij pozycję [UŻYTKOWNICY]. 2.4. Na stronie [UŻYTKOWNICY] kliknij pozycję [Użytkownicy usługi] —> [Akcje] —> [Utwórz nowego użytkownika usługi]. 2.5. Wybierz pozycje [Data wygaśnięcia] i [zakres] (według witryny), a następnie kliknij pozycję [Utwórz użytkownika]. 2.6. Po utworzeniu elementu [Użytkownik usługi] skopiuj [token interfejsu API] ze strony i naciśnij klawisz [Zapisz]

  • Adres URL zarządzania usługi SentinelOne: (https://example.sentinelone.net/)
  • Token interfejsu API: (token interfejsu API)
  • Włączanie/wyłączanie połączenia



Seraphic Web Security

Obsługiwane przez:Seraphic Security

Łącznik danych Seraphic Web Security zapewnia możliwość pozyskiwania zdarzeń i alertów dotyczących zabezpieczeń sieci Web seraphic do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SeraphicWebSecurity_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Klucz interfejsu API Seraphic: klucz interfejsu API dla Microsoft Sentinel połączony z dzierżawą usługi Seraphic Web Security. Aby uzyskać ten klucz interfejsu API dla dzierżawy — odwiedź stronę Integracje w konsoli Seraphic.

Instrukcje dotyczące konfiguracji:

Łączenie z usługą Seraphic Web Security

Wstaw nazwę integracji, adres URL integracji Seraphic i nazwę obszaru roboczego dla Microsoft Sentinel:



Konsola Administracja Silverfort

Obsługiwane przez:Silverfort

Rozwiązanie łącznika konsoli silverfort ITDR Administracja Console umożliwia pozyskiwanie zdarzeń Silverfort i logowanie się do Microsoft Sentinel. Program Silverfort udostępnia zdarzenia oparte na dziennikach systemowych i rejestrowanie przy użyciu formatu Common Event Format (CEF). Przekazując dane CEF konsoli programu Silverfort ITDR Administracja Console do Microsoft Sentinel, możesz skorzystać z korelacji & wyszukiwania, alertów i wzbogacania analizy zagrożeń na danych Silverfort przez usługę Sentinel. Aby uzyskać więcej informacji, skontaktuj się z firmą Silverfort lub zapoznaj się z dokumentacją platformy Silverfort.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

1. konfiguracja agenta Linux Syslog

Zainstaluj i skonfiguruj agenta Linux, aby zbierał komunikaty dziennika Syslog w formacie Common Event Format (CEF) i przekazywał je do Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny Linux

Wybierz lub utwórz maszynę Linux, która Microsoft Sentinel będzie używana jako serwer proxy między rozwiązaniem zabezpieczeń i Microsoft Sentinel ta maszyna może znajdować się w środowisku lokalnym, Azure lub innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie Linux

Zainstaluj agenta monitorowania firmy Microsoft na maszynie Linux i skonfiguruj maszynę do nasłuchiwania na niezbędnym porcie i przekazywania komunikatów do obszaru roboczego Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version.

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

  • Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:: <wartość zmiennej podana w czasie instalacji>

2. Przekazywanie dzienników wspólnego formatu zdarzeń (CEF) do agenta usługi Syslog

Ustaw rozwiązanie zabezpieczeń, aby wysyłać komunikaty dziennika systemowego w formacie CEF do maszyny proxy. Pamiętaj, aby wysłać dzienniki do portu 514 TCP na adres IP maszyny.

3. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na komputerze

  • Uruchom następujące polecenie, aby zweryfikować łączność:: <wartość zmiennej podana w czasie instalacji>

**4. Zabezpieczanie maszyny **

Upewnij się, że skonfigurowano zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >



SlackAudit (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych SlackAudit umożliwia pozyskiwanie dzienników inspekcji usługi Slack do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SlackAuditV2_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • UserName, SlackAudit API Key & typ akcji: aby wygenerować token dostępu, utwórz nową aplikację w usłudze Slack, a następnie dodaj niezbędne zakresy i skonfiguruj adres URL przekierowania. Aby uzyskać szczegółowe instrukcje dotyczące generowania tokenu dostępu, nazwy użytkownika i limitu nazw akcji, skorzystaj z linku.

Instrukcje dotyczące konfiguracji:

**Połącz usługę SlackAudit z Microsoft Sentinel

**

Aby pozyskać dane z usługi SlackAudit do Microsoft Sentinel, musisz kliknąć przycisk Dodaj domenę poniżej, a następnie wyświetlić okno podręczne, aby wypełnić szczegóły, podać wymagane informacje i kliknąć pozycję Połącz. W siatce są widoczne nazwy użytkowników i akcje.

  • Siatka łączników danych (konfigurowana w portalu)



Snowflake (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych snowflake zapewnia możliwość pozyskiwania dzienników historii logowania usługi Snowflake, dzienników historii zapytań, dzienników udzielania uprawnień przez użytkownika, dzienników przyznawania ról, dzienników historii ładowania, dzienników historii odświeżania zmaterializowanych widoków, dzienników ról, dzienników tabel, dzienników metryk magazynu tabel, dzienników użytkowników logujących się do Microsoft Sentinel przy użyciu interfejsu API SQL snowflake. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API SQL usługi Snowflake .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SnowflakeLogin_CL Tak Tak
SnowflakeQuery_CL Tak Tak
SnowflakeUserGrant_CL Tak Tak
SnowflakeRoleGrant_CL Tak Tak
SnowflakeLoad_CL Tak Tak
SnowflakeMaterializedView_CL Tak Tak
SnowflakeRoles_CL Tak Tak
SnowflakeTables_CL Tak Tak
SnowflakeTableStorageMetrics_CL Tak Tak
SnowflakeUsers_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie aplikacji Snowflake z Microsoft Sentinel

UWAGA: Aby upewnić się, że dane są prezentowane w oddzielnych kolumnach dla każdego pola, wykonaj analizator przy użyciu funkcji Snowflake()

Aby zebrać dane z aplikacji Snowflake, należy podać następujące zasoby

  1. Identyfikator konta Aby zebrać dane z aplikacji Snowflake, potrzebny jest identyfikator konta usługi Snowflake.

  2. Programowy token dostępu Do zbierania danych z aplikacji Snowflake potrzebny jest programowy token dostępu snowflake

Aby uzyskać szczegółowe instrukcje dotyczące pobierania identyfikatora konta i programowego tokenu dostępu, zapoznaj się z samouczkiem łącznika.

  • Siatka łączników danych (konfigurowana w portalu)



Łącznik danych dzienników inspekcji platformy SOC Prime

Obsługiwane przez:SOC Prime

Łącznik danych dzienników inspekcji USŁUGI SOC Prime umożliwia pozyskiwanie dzienników z interfejsu API platformy SOC Prime do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API platformy SOC Prime do pobierania dzienników inspekcji platformy SOC Prime i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, co zapewnia lepszą wydajność.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SOCPrimeAuditLogs_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API platformy SOC Prime Postępuj zgodnie z instrukcjami w celu uzyskania poświadczeń. Możesz również postępować zgodnie z tym przewodnikiem , aby wygenerować osobisty klucz interfejsu API.

Pobieranie klucza interfejsu API

  1. Logowanie się do platformy SOC Prime Platform
  2. Kliknij ikonę [Konto] —> [Ustawienia platformy] —> [INTERFEJS API]
  3. Kliknij pozycję [Dodaj nowy klucz]
  4. W wyświetlonym modalu nadaj kluczowi znaczącą nazwę, ustaw datę wygaśnięcia i interfejsy API produktu, do których klucz zapewnia dostęp
  5. Kliknij pozycję [Generuj]
  6. Skopiuj klucz i zapisz go w bezpiecznym miejscu. Nie będzie można wyświetlić go ponownie po zamknięciu tego modalnego
  • Klucz interfejsu API SOC Prime: (klucz interfejsu API)
  • Włączanie/wyłączanie połączenia



Łącznik danych Sonrai

Obsługiwane przez:N/A

Użyj tego łącznika danych, aby zintegrować się z usługą Sonrai Security i pobrać bilety Sonrai wysyłane bezpośrednio do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Sonrai_Tickets_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Łącznik danych zabezpieczeń sonrai

  1. Przejdź do pulpitu nawigacyjnego usługi Sonrai Security.
  2. W lewym dolnym panelu kliknij pozycję Integracje.
  3. Wybierz pozycję Microsoft Sentinel z listy dostępnych integracji.
  4. Wypełnij formularz, korzystając z poniższych informacji.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Sophos Endpoint Protection (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych sophos Endpoint Protection umożliwia pozyskiwanie zdarzeń Sophos i alertów Sophos do Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Sophos Central Administracja.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SophosEPEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do interfejsu API programu Sophos Endpoint Protection: wymagany jest dostęp do interfejsu API programu Sophos Endpoint Protection za pośrednictwem jednostki usługi.

Instrukcje dotyczące konfiguracji:

Połącz się z interfejsem API programu Sophos Endpoint Protection, aby rozpocząć zbieranie dzienników zdarzeń i alertów w Microsoft Sentinel

Postępuj zgodnie z instrukcjami sophos , aby utworzyć jednostkę usługi z dostępem do interfejsu API Sophos. Będzie ona potrzebować roli ReadOnly jednostki usługi. Za pomocą tych instrukcji należy uzyskać identyfikator klienta, klucz tajny klienta, identyfikator dzierżawy i region danych. Wypełnij poniższe informacje w formularzu.

  • Identyfikator dzierżawy sophos: (identyfikator dzierżawy sophos)
  • Region danych dzierżawy sophos: (eu01, eu02, us01, us02 lub us03)
  • Siatka łączników danych (konfigurowana w portalu)



Symantec Integrated Cyber Defense Exchange

Obsługiwane przez:Microsoft Corporation

Łącznik Symantec ICDx umożliwia łatwe łączenie dzienników rozwiązań zabezpieczeń firmy Symantec z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SymantecICDx_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Konfigurowanie ICDx firmy Symantec i nawiązywanie z nią połączenia

  1. Na pasku nawigacyjnym ICDx kliknij pozycję Konfiguracja.
  2. W górnej części ekranu Konfiguracja kliknij pozycję Usługi przesyłania dalej, a następnie kliknij pozycję Microsoft Sentinel (Log Analytics), kliknij przycisk Dodaj.
  3. W wyświetlonym oknie Microsoft Sentinel (Log Analytics) kliknij pozycję Pokaż zaawansowane. Zapoznaj się z dokumentacją, aby ustawić funkcje zaawansowane.
  4. Upewnij się, że ustawiono nazwę usługi przesyłania dalej i w obszarze Azure Miejsce docelowe ustaw następujące wymagane pola:
  • Identyfikator obszaru roboczego: wklej identyfikator obszaru roboczego na stronie łącznika portalu Microsoft Sentinel.
  • Klucz podstawowy: wklej klucz podstawowy ze strony łącznika portalu Microsoft Sentinel.
  • Nazwa dziennika niestandardowego: wpisz nazwę dziennika niestandardowego w obszarze roboczym usługi Microsoft Azure Portal Log Analytics, do którego będą przekazywane zdarzenia. Wartość domyślna to SymantecICDx.
  1. Kliknij przycisk Zapisz i uruchom usługę przesyłania dalej, przejdź do pozycji Opcje > więcej i kliknij przycisk Start.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Synqly Integration Connector

Obsługiwane przez:Synqly

Łącznik Synqly umożliwia wypychanie zdarzeń zabezpieczeń z integracji synqly do Microsoft Sentinel przy użyciu interfejsu API pozyskiwania dzienników Azure. Zdarzenia są automatycznie normalizowane do tabel usługi ASIM (Advanced Security Information Model) do użycia z analizą Microsoft Sentinel, skoroszytami i zapytaniami wyszukiwania zagrożeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra ID: rola dewelopera aplikacji (lub wyższa) do tworzenia rejestracji aplikacji.
  • Microsoft Azure: rola właściciela lub administratora dostępu użytkowników w grupie zasobów w celu wdrożenia funkcji DCR i przypisania roli wydawcy metryk monitorowania.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik umożliwia oparte na wypychaniu pozyskiwanie zdarzeń zabezpieczeń z integracji synqly do Microsoft Sentinel. Zdarzenia są automatycznie normalizowane do tabel ASIM (Advanced Security Information Model).

Wdróż zasoby łącznika Kliknięcie przycisku "Wdróż" powoduje utworzenie reguły zbierania danych (DCR), punktu końcowego zbierania danych (DCE) i aplikacji Entra z uprawnieniami niezbędnymi do bezpiecznego wysyłania danych do Microsoft Sentinel.

2. Udzielanie dodatkowych uprawnień (na podstawie przypadku użycia)

Dodatkowe role mogą być wymagane w zależności od tego, jak planujesz używać usługi Synqly z Microsoft Sentinel.

Łącznik ujścia (tylko do zapisu): nie są wymagane żadne dodatkowe uprawnienia. Łącznik SIEM (odczyt/zapis): przypisz współautora Microsoft Sentinel roli aplikacji Entra za pośrednictwem interfejsu użytkownika Azure w obszarze roboczym usługi Log Analytics.

Zobacz dokumentację synqly , aby uzyskać szczegółowe przewodniki konfiguracji.

3. Wypchnij dzienniki do obszaru roboczego

Podaj te parametry do integracji z rozwiązaniem Synqly. Usługa Synqly będzie automatycznie obsługiwać szczegóły techniczne pozyskiwania danych, w tym formatowanie zdarzeń do jednego z 10 obsługiwanych schematów ASIM (Authentication, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession).

Ważne: zdarzenia z nieobsługiwanymi typami schematów są porzucane w trybie dyskretnym przez Azure. Jeśli oczekiwane dane nie są wyświetlane, sprawdź u dostawcy integracji synqly, czy zdarzenia są wysyłane z jednym z obsługiwanych typów schematów wymienionych powyżej.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • nazwa Stream: <wartość zmiennej podana w czasie instalacji>



Dziennik systemowy za pośrednictwem usługi AMA

Obsługiwane przez:Microsoft Corporation

Syslog to protokół rejestrowania zdarzeń, który jest typowy dla Linux. Aplikacje będą wysyłać komunikaty, które mogą być przechowywane na komputerze lokalnym lub dostarczane do modułu zbierającego Syslog. Po zainstalowaniu agenta Linux konfiguruje demona lokalnego dziennika systemu w celu przekazywania komunikatów do agenta. Następnie agent wysyła komunikat do obszaru roboczego.

Dowiedz się więcej >

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Syslog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Poświadczenia z naruszonymi zabezpieczeniami w języku TacitRed

Obsługiwane przez:Data443 Risk Mitigation, Inc.

Pozyskiwanie wyników poświadczeń, których bezpieczeństwo zostało naruszone przez rozwiązanie TacitRed, przy użyciu struktury Common Connector Framework (CCF).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TacitRed_Findings_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Klucz interfejsu API TacitRed: klucz interfejsu API przechowywany w Azure Key Vault lub podany w czasie wdrażania.

Instrukcje dotyczące konfiguracji:

Łączenie poświadczeń z naruszonymi zabezpieczeniami w języku TacitRed

Aby włączyć łącznik TacitRed, podaj poniższy klucz interfejsu API i kliknij pozycję Połącz.

W celu zwiększenia zabezpieczeń można włączyć integrację Key Vault w celu przechowywania i pobierania klucza interfejsu API.

  • Klucz interfejsu API TacitRed: (Wprowadź klucz interfejsu API TacitRed)
  • Włączanie/wyłączanie połączenia



Talon Insights

Obsługiwane przez:Talon Security

Łącznik Dzienniki zabezpieczeń talonu umożliwia łatwe łączenie zdarzeń szponów i dzienników inspekcji z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Talon_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Zanotuj poniższe wartości i postępuj zgodnie z instrukcjami w tym miejscu, aby połączyć zdarzenia zabezpieczeń talonu i dzienniki inspekcji z Microsoft Sentinel.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Łącznik wypychania CCF firmy Tanium

Obsługiwane przez:Tanium Inc.

Te dane przesyłają Microsoft Sentinel skoroszytów i podręczników, aby analitycy mogli wzbogacać zdarzenia, wizualizować ryzyko i kondycję punktu końcowego oraz automatyzować przepływy pracy badania i reagowania. Aby uzyskać więcej informacji na temat tanium, przejdź do https://www.tanium.com/contact-us/

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TaniumComplyCompliance_CL Nie Nie
TaniumComplyVulnerabilities_CL Nie Nie
TaniumDefenderHealth_CL Nie Nie
TaniumDiscoverUnmanagedAssets_CL Nie Nie
TaniumHighUptime_CL Nie Nie
TaniumPatchCoverageStatus_CL Nie Nie
TaniumPatchListApplicability_CL Nie Nie
TaniumPatchListCompliance_CL Nie Nie
TaniumSCCMClientHealth_CL Nie Nie
TaniumThreatResponse_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR).

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Ten łącznik umożliwia serwerowi Tanium wypychanie danych spisu podstawowego bezpośrednio do Microsoft Sentinel za pośrednictwem interfejsu API pozyskiwania Azure Monitor.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabeli usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych Tanium do kontrolera DOMENY przy użyciu tokenu Entra.

2. Konfigurowanie połączeń Tanium

Użyj następujących parametrów, aby skonfigurować połączenia Tanium do wypychania danych do obszaru roboczego.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki ustaleń zgodności Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki luk w zabezpieczeniach zgodności Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream dzienników kondycji usługi Defender: <wartość zmiennej podana w czasie instalacji>
  • Odnajdywanie niezarządzanych dzienników kondycji zasobów Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • High Uptime Logs Stream Name: <zmienna wartość podana w czasie instalacji>
  • Dzienniki stanu pokrycia poprawek Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki stosowania listy poprawek Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki zgodności listy poprawek Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • SCCM Dzienniki kondycji klienta Stream nazwa: <wartość zmiennej podana w czasie instalacji>
  • Dzienniki alertów reagowania na zagrożenia Stream nazwa: <wartość zmiennej podana w czasie instalacji>

3. Utwórz połączenie w tanium

Po pomyślnym wdrożeniu łącznika danych w Azure utwórz wymagane połączenie na serwerze Tanium w module Połącz. Aby uzyskać więcej informacji dotyczących modułu Connect, zobacz Pomoc tanium

  1. Pobierz plik importu połączenia.
  2. Zastąp symbole zastępcze parametrami wyświetlanymi powyżej.
  3. Na serwerze Tanium otwórz moduł Połącz.
  4. Użyj funkcji importowania, aby zaimportować nowe połączenia.



Team Cymru Scout Data Connector (przy użyciu Azure Functions)

Obsługiwane przez:Team Cymru

Łącznik danych TeamCymruScout umożliwia użytkownikom wprowadzanie w Microsoft Sentinel danych użycia adresu IP, domeny i konta programu Team Cymru Scout w celu wzbogacenia.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Cymru_Scout_Domain_Data_CL Nie Nie
Cymru_Scout_IP_Data_Foundation_CL Nie Nie
Cymru_Scout_IP_Data_Details_CL Nie Nie
Cymru_Scout_IP_Data_Communications_CL Nie Nie
Cymru_Scout_IP_Data_PDNS_CL Nie Nie
Cymru_Scout_IP_Data_Fingerprints_CL Nie Nie
Cymru_Scout_IP_Data_OpenPorts_CL Nie Nie
Cymru_Scout_IP_Data_x509_CL Nie Nie
Cymru_Scout_IP_Data_Summary_Details_CL Nie Nie
Cymru_Scout_IP_Data_Summary_PDNS_CL Nie Nie
Cymru_Scout_IP_Data_Summary_OpenPorts_CL Nie Nie
Cymru_Scout_IP_Data_Summary_Certs_CL Nie Nie
Cymru_Scout_IP_Data_Summary_Fingerprints_CL Nie Nie
Cymru_Scout_Account_Usage_Data_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Uprawnienie do przypisania roli do zarejestrowanej aplikacji: wymagane jest uprawnienie do przypisania roli do zarejestrowanej aplikacji w Microsoft Entra ID.
  • Team Cymru Scout Credentials/permissions: Wymagane są poświadczenia konta Team Cymru Scout (nazwa użytkownika, hasło).

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API programu Team Cymru Scout w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki tworzenia klucza interfejsu API programu Team Cymru Scout

Postępuj zgodnie z tymi instrukcjami, aby utworzyć klucz interfejsu API programu Team Cymru Scout.

  1. Zapoznaj się z dokumentem Klucze interfejsu API , aby wygenerować klucz interfejsu API do użycia jako alternatywna forma autoryzacji.

KROK 2 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych TeamCymruScout.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 3 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych TeamCymruScout. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych TeamCymruScout.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 4 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

KROK 5 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 6 — Przekazywanie pliku csv z oskarżeniami na liście obserwowanych

Wykonaj kroki opisane w tej sekcji, aby przekazać dane csv zawierające wskaźniki na liście obserwowanych:

  1. W Azure Portal przejdź do Microsoft Sentinel i wybierz obszar roboczy.
  2. Przejdź do pozycji Lista obserwowanych w sekcji Konfiguracja z lewego panelu.
  3. Kliknij pozycję TeamCymruScoutDomainData, a następnie wybierz pozycję Zbiorcza aktualizacja z listy obserwowanych aktualizacji.
  4. Przekaż pliki csv za pomocą wskaźników domeny w obszarze Przekazywanie danych wejściowych pliku i kliknij przycisk Dalej: Przejrzyj+Utwórz.
  5. Po pomyślnym walidacji kliknij pozycję Aktualizuj.
  6. Wykonaj te same kroki, aby zaktualizować listę kontrolną TeamCymruScoutIPData dla wskaźników ip.

Link referencyjny:Zbiorcze aktualizowanie listy obserwowanych

KROK 7 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych TeamCymruScout należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących) łatwo dostępnych.., a także poświadczenia TeamCymruScout.

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych TeamCymruScout.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Location WorkspaceName Nazwa funkcji TeamCymruScoutBaseURL AuthenticationType Username Password APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych TeamCymruScout za pomocą Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. CymruScoutXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.12 lub nowszą.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

  12. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Narażenie na tożsamość do utrzymania

Obsługiwane przez:Tenable

Łącznik narażenia na tożsamość do utrzymania umożliwia pozyskiwanie wskaźników ekspozycji, wskaźników ataków i dzienników trailflow do Microsoft Sentinel. Różne książki robocze i analizatory danych umożliwiają łatwiejsze manipulowanie dziennikami i monitorowanie środowiska usługi Active Directory. Szablony analityczne umożliwiają automatyzowanie odpowiedzi dotyczących różnych zdarzeń, ekspozycji i ataków.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Tenable_IE_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do konfiguracji tenableIE: uprawnienia do konfigurowania aparatu alertów dziennika systemowego

Instrukcje dotyczące konfiguracji:

Ten łącznik danych zależy od afad_parser w oparciu o funkcję Kusto, która działa zgodnie z oczekiwaniami, która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

1. Konfigurowanie serwera Syslog

Najpierw będzie potrzebny serwer Syslog systemu Linux, do którego tenableIE będzie wysyłać dzienniki. Zazwyczaj można uruchomić dziennik rsyslog w systemie Ubuntu. Następnie można skonfigurować ten serwer zgodnie z życzeniem, ale zalecane jest, aby móc wyprowadzać dzienniki TenableIE w osobnym pliku.

Skonfiguruj dziennik rsyslog tak, aby akceptował dzienniki z adresu IP tenableIE. Wybierz jedną z następujących opcji:

Opcja 1. Używanie dyrektywy AllowedSender

Ta konfiguracja ogranicza hosty, które mogą wysyłać dzienniki do serwera dziennika systemowego na poziomie sieci. Jest ona bezpieczniejsza, ponieważ odrzuca nieautoryzowane połączenia przed ich przetworzeniem.

  1. Pobierz plik konfiguracji: 80-tenable-allowedsender.conf
  2. Uruchom polecenie w trybie sudo: sudo -i
  3. Ustaw adres IP tenableIE: export TENABLE_IE_IP={Enter your IP address}
  4. Wykonywanie poleceń z pobranego pliku konfiguracji
  5. Uruchom ponownie dziennik rsyslog: systemctl restart rsyslog

Opcja 2. Filtrowanie dzienników według źródłowego adresu IP (w przypadku środowisk z wieloma źródłami dziennika systemowego)

Ta konfiguracja akceptuje wszystkie dzienniki przychodzące, ale przetwarza tylko te z określonego adresu IP TenableIE. Jest to szczególnie przydatne, gdy masz wiele serwerów dziennika systemu lub aplikacji wysyłających dzienniki do tego samego serwera dziennika systemu i chcesz selektywnie przetwarzać tylko dzienniki TenableIE.

  1. Pobierz plik konfiguracji: 80-tenable-filter.conf
  2. Uruchom polecenie w trybie sudo: sudo -i
  3. Ustaw adres IP tenableIE: export TENABLE_IE_IP={Enter your IP address}
  4. Wykonywanie poleceń z pobranego pliku konfiguracji
  5. Uruchom ponownie dziennik rsyslog: systemctl restart rsyslog

2. Instalowanie i dołączanie agenta firmy Microsoft dla Linux

Agent pakietu OMS otrzyma zdarzenia dziennika systemowego TenableIE i opublikuje go w Microsoft Sentinel :

Wybierz miejsce instalacji agenta:

Instalowanie agenta na maszynie wirtualnej Azure Linux

Wybierz maszynę do zainstalowania agenta, a następnie kliknij przycisk Połącz.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Instalowanie agenta na maszynie innej niż Azure Linux

Pobierz agenta na odpowiednią maszynę i postępuj zgodnie z instrukcjami.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

3. Sprawdzanie dzienników agenta na serwerze Syslog

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. Skonfiguruj tenableIE do wysyłania dzienników do serwera Syslog

W portalu TenableIE przejdź do obszaru System, Konfiguracja , a następnie pozycję Syslog. W tym miejscu można utworzyć nowy alert dziennika systemu w kierunku serwera Syslog.

Po wykonaniu tej czynności sprawdź, czy dzienniki są poprawnie zbierane na serwerze w osobnym pliku (w tym celu możesz użyć przycisku Testuj konfigurację w konfiguracji alertu dziennika systemu w aplikacji TenableIE). Jeśli użyto szablonu szybkiego startu, serwer Syslog domyślnie nasłuchuje na porcie 514 w UDP i 1514 w TCP, bez protokołu TLS.

Uwaga: Obie opcje konfiguracji z kroku 1 umożliwiają skonfigurowanie serwera dziennika systemowego do nasłuchiwania na porcie 514 dla połączeń UDP i TCP.

5. Konfigurowanie dzienników niestandardowych

Skonfiguruj agenta do zbierania dzienników.

  1. W Microsoft Sentinel przejdź do pozycji Konfiguracja —> Ustawienia —> Ustawienia obszaru roboczego —> Dzienniki niestandardowe.
  2. Kliknij pozycję Dodaj dziennik niestandardowy.
  3. Przekaż przykładowy plik TenableIE.log Syslog z maszyny Linux z uruchomionym serwerem Syslog i kliknij przycisk Dalej
  4. Ustaw ogranicznik rekordu na nowy wiersz, jeśli jeszcze nie jest to przypadek, a następnie kliknij przycisk Dalej.
  5. Wybierz pozycję Linux i wprowadź ścieżkę pliku do pliku Syslog, kliknij przycisk + i dalej. Domyślna lokalizacja pliku to /var/log/TenableIE.log , jeśli masz wersję 3.1.0 z możliwością utrzymania <, musisz również dodać tę lokalizację /var/log/AlsidForAD.logpliku systemu Linux.
  6. Ustaw wartość Tenable_IE_CL (Azure automatycznie dodaje _CL na końcu nazwy, musi być tylko jedna, upewnij się, że nazwa nie jest Tenable_IE_CL_CL).
  7. Kliknij przycisk Dalej, zostanie wyświetlone wznowienie, a następnie kliknij pozycję Utwórz

6. Ciesz się!

Teraz powinno być możliwe odbieranie dzienników w tabeli Tenable_IE_CL , dane dzienników mogą być analizowane przy użyciu funkcji afad_parser(), używanej przez wszystkie przykłady zapytań, skoroszyty i szablony analityczne.



Zarządzanie lukami w zabezpieczeniach z możliwością utrzymania (przy użyciu Azure Functions)

Obsługiwane przez:Tenable

Łącznik danych TVM umożliwia pozyskiwanie danych dotyczących zasobów, luk w zabezpieczeniach, zgodności, zasobów WAS i luk w zabezpieczeniach w Microsoft Sentinel przy użyciu interfejsów API REST programu TVM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik zapewnia możliwość pobierania danych, które ułatwiają badanie potencjalnych zagrożeń bezpieczeństwa, uzyskiwanie wglądu w zasoby obliczeniowe, diagnozowanie problemów z konfiguracją i nie tylko

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Tenable_VM_Asset_CL Tak Tak
Tenable_VM_Vuln_CL Tak Tak
Tenable_VM_Compliance_CL Tak Tak
Tenable_WAS_Asset_CL Tak Tak
Tenable_WAS_Vuln_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: do uzyskania dostępu do interfejsu API REST z możliwością obsługi dzierżawy jest wymagany klucz TenableAccessKey i tenableSecretKey . Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Durable Functions do łączenia się z interfejsem API maszyny wirtualnej TenableVM w celu ściągnięcia zasobów, luk w zabezpieczeniach i zgodności (jeśli wybrano) w regularnych odstępach czasu do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora tenableVM pod kątem luk w zabezpieczeniach i analizatora tenableVM dla zasobów opartych na funkcji Kusto, aby działała zgodnie z oczekiwaniami, która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Kroki konfiguracji maszyny wirtualnej TenableVM

Postępuj zgodnie z instrukcjami , aby uzyskać wymagane poświadczenia interfejsu API.

KROK 2 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 3 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych tenableVM. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych tenableVM.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 4 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

KROK 5 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną aplikację funkcji Azure

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych raportu zarządzania lukami w zabezpieczeniach maszyny wirtualnej tenableVM przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów, nazwę i lokalizację aplikacji funkcji.

  3. Wprowadź poniższe informacje:

    a. WorkspaceName — wprowadź nazwę obszaru roboczego obszaru roboczego analizy dzienników.

    b. TenableAccessKey — wprowadź klucz dostępu do korzystania z interfejsu API do obsługi dzierżawy.

    c. TenableSecretKey — wprowadź tenable klucz tajny na potrzeby uwierzytelniania.

    d. AzureClientID — wprowadź identyfikator klienta Azure.

    e. AzureClientSecret — wprowadź Azure klucz tajny klienta.

    f. TenantID — wprowadź identyfikator dzierżawy uzyskany z powyższych kroków.

    G. AzureEntraObjectId — wprowadź identyfikator obiektu Azure uzyskany z powyższych kroków.

    H. LowestSeveritytoStore — najniższa ważność luk w zabezpieczeniach do zapisania. Dozwolone wartości: Informacje, Niski, Średni, Wysoki, Krytyczny. Wartość domyślna to Informacje.

    i. ComplianceDataIngestion — wybierz wartość true, jeśli chcesz włączyć pozyskiwanie danych zgodności z tej maszyny wirtualnej. Wartość domyślna to false.

    J. WASAssetDataIngestion — wybierz wartość true, jeśli chcesz włączyć pozyskiwanie danych zasobu WAS z tej maszyny wirtualnej. Wartość domyślna to false.

    K. WASVulnerabilityDataIngestion — wybierz wartość true, jeśli chcesz włączyć pozyskiwanie danych luk w zabezpieczeniach WAS z tej maszyny wirtualnej. Wartość domyślna to false.

    L. LowestSeveritytoStoreWAS — najniższa ważność luki w zabezpieczeniach do przechowywania dla systemu WAS. Dozwolone wartości: Informacje, Niski, Średni, Wysoki, Krytyczny. Wartość domyślna to Informacje.

    M. TenableExportScheduleInMinutes — zaplanuj w ciągu kilku minut tworzenie nowego zadania eksportu z maszyny wirtualnej z możliwością obsługi dziesiętnej. Wartość domyślna to 1440.

    N. AssetTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych zasobów.

    o. VulnTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych luk w zabezpieczeniach.

    P. ComplianceTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych zgodności.

    P. WASAssetTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych zasobów WAS.

    R. WASVulnTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych luk w zabezpieczeniach WAS.

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych raportu zarządzania lukami w zabezpieczeniach maszyny wirtualnej TenableVM przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. TenableVMXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.12.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):

    a. WorkspaceName — wprowadź nazwę obszaru roboczego obszaru roboczego analizy dzienników.

    b. TenableAccessKey — wprowadź klucz dostępu do korzystania z interfejsu API do obsługi dzierżawy.

    c. TenableSecretKey — wprowadź tenable klucz tajny na potrzeby uwierzytelniania.

    d. AzureClientID — wprowadź identyfikator klienta Azure.

    e. AzureClientSecret — wprowadź Azure klucz tajny klienta.

    f. TenantID — wprowadź identyfikator dzierżawy uzyskany z powyższych kroków.

    G. AzureEntraObjectId — wprowadź identyfikator obiektu Azure uzyskany z powyższych kroków.

    H. LowestSeveritytoStore — najniższa ważność luk w zabezpieczeniach do zapisania. Dozwolone wartości: Informacje, Niski, Średni, Wysoki, Krytyczny. Wartość domyślna to Informacje.

    i. ComplianceDataIngestion — wybierz wartość true, jeśli chcesz włączyć pozyskiwanie danych zgodności z tej maszyny wirtualnej. Wartość domyślna to false.

    J. WASAssetDataIngestion — wybierz wartość true, jeśli chcesz włączyć pozyskiwanie danych zasobu WAS z tej maszyny wirtualnej. Wartość domyślna to false.

    K. WASVulnerabilityDataIngestion — wybierz wartość true, jeśli chcesz włączyć pozyskiwanie danych luk w zabezpieczeniach WAS z tej maszyny wirtualnej. Wartość domyślna to false.

    L. LowestSeveritytoStoreWAS — najniższa ważność luki w zabezpieczeniach do przechowywania dla systemu WAS. Dozwolone wartości: Informacje, Niski, Średni, Wysoki, Krytyczny. Wartość domyślna to Informacje.

    M. TenableExportScheduleInMinutes — zaplanuj w ciągu kilku minut tworzenie nowego zadania eksportu z maszyny wirtualnej z możliwością obsługi dziesiętnej. Wartość domyślna to 1440.

    N. AssetTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych zasobów.

    o. VulnTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych luk w zabezpieczeniach.

    P. ComplianceTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych zgodności.

    P. WASAssetTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych zasobów WAS.

    R. WASVulnTableName — wprowadź nazwę tabeli używanej do przechowywania dzienników danych luk w zabezpieczeniach WAS.

    S. PyTenableUAVendor — wartość musi być ustawiona na microsoft.

    T. PyTenableUAProduct — wartość musi być ustawiona na Microsoft Sentinel.

    U. PyTenableUABuild — wartość musi być ustawiona na 3.1.0.

  12. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Microsoft Defender oparte na dzierżawie dla chmury

Obsługiwane przez:Microsoft Corporation

Microsoft Defender dla Chmury to narzędzie do zarządzania zabezpieczeniami, które umożliwia wykrywanie zagrożeń i szybkie reagowanie na nie w ramach obciążeń Azure, hybrydowych i wielochmurowych. Ten łącznik umożliwia przesyłanie strumieniowe alertów zabezpieczeń MDC z usługi Microsoft 365 Defender do usługi Microsoft Sentinel, dzięki czemu można wykorzystać zalety korelacji XDR łączących kropki między zasobami, urządzeniami i tożsamościami w chmurze oraz wyświetlać dane w skoroszytach, zapytaniach oraz badać zdarzenia i reagować na nie. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Łączenie Microsoft Defender opartej na dzierżawie dla chmury z usługą Microsoft Sentinel

Po połączeniu tego łącznika wszystkie alerty Microsoft Defender dla subskrypcji chmury zostaną wysłane do tego obszaru roboczego Microsoft Sentinel.

Alerty Microsoft Defender dla chmury są połączone ze strumieniem za pośrednictwem usługi Microsoft 365 Defender. Aby skorzystać z automatycznego grupowania alertów w zdarzenia, połącz łącznik zdarzeń usługi Microsoft 365 Defender. Zdarzenia można wyświetlać w kolejce zdarzeń.



TheHive (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych TheHive zapewnia możliwość pozyskiwania danych platformy theHive security incident response do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie przypadków, zadań i alertów z aplikacji TheHive oraz wizualizowanie ich w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TheHiveData Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp do interfejsu API usługi TheHive: interfejs API theHive w wersji 4 lub nowszej jest wymagany dla interfejsu API theHive.

Instrukcje dotyczące konfiguracji:

1. Konfiguracja

Postępuj zgodnie z instrukcjami, aby skonfigurować łącznik TheHive.

  • Podstawowy adres URL aplikacji TheHive: (podstawowy adres URL wystąpienia usługi TheHive (np. https://thehive.example.com)) Pobierz klucz interfejsu API z ustawień profilu użytkownika theHive. (lub dedykowany użytkownik utworzony w tym celu)

  • Klucz interfejsu API: (klucz interfejsu API dla interfejsu API języka TheHive)

2. Połącz

Włącz łącznik TheHive.

  • Włączanie/wyłączanie połączenia



Theom

Obsługiwane przez:Theom

Łącznik danych theom umożliwia organizacjom łączenie środowiska Theom z Microsoft Sentinel. To rozwiązanie umożliwia użytkownikom otrzymywanie alertów dotyczących zagrożeń bezpieczeństwa danych, tworzenie i wzbogacanie zdarzeń, sprawdzanie statystyk i wyzwalanie podręczników SOAR w Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TheomAlerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

  1. W konsoli interfejsu użytkownika aplikacji Theom kliknij pozycję Zarządzaj —> alerty na pasku bocznym.
  2. Wybierz kartę Sentinel.
  3. Kliknij przycisk Aktywny , aby włączyć konfigurację.
  4. Wprowadź Primary klucz jako Authorization Token
  5. Wprowadź Endpoint URL jako https://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
  6. Kliknij SAVE SETTINGS
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Analiza zagrożeń — TAXII

Obsługiwane przez:Microsoft Corporation

Microsoft Sentinel integruje się ze źródłami danych TAXII 2.0 i 2.1, aby umożliwić monitorowanie, alerty i wyszukiwanie zagrożeń przy użyciu analizy zagrożeń. Ten łącznik służy do wysyłania obsługiwanych typów obiektów STIX z serwerów TAXII do Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików. Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Platformy analizy zagrożeń

Obsługiwane przez:Microsoft Corporation

Microsoft Sentinel integruje się ze źródłami danych programu Microsoft Graph interfejs API Zabezpieczenia w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń przy użyciu analizy zagrożeń. Ten łącznik umożliwia wysyłanie wskaźników zagrożeń do Microsoft Sentinel z platformy Analizy zagrożeń (TIP), takich jak Threat Connect, Palo Alto Networks MindMeld, MISP lub inne zintegrowane aplikacje. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików. Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Interfejs API przekazywania analizy zagrożeń (wersja zapoznawcza)

Obsługiwane przez:Microsoft Corporation

Microsoft Sentinel oferuje interfejs API płaszczyzny danych w celu dostarczania analizy zagrożeń z poziomu platformy Analizy zagrożeń (TIP), takiej jak Threat Connect, Palo Alto Networks MineMeld, MISP lub inne zintegrowane aplikacje. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL, skróty plików i adresy e-mail. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

**Źródła danych analizy zagrożeń można połączyć z Microsoft Sentinel: **

Korzystanie ze zintegrowanej platformy analizy zagrożeń (TIP), takiej jak Threat Connect, Palo Alto Networks MineMeld, MISP i inne.

Wywoływanie interfejsu API płaszczyzny danych Microsoft Sentinel bezpośrednio z innej aplikacji.

  • Uwaga: "Stan" łącznika nie będzie w tym miejscu wyświetlany jako "Połączony", ponieważ dane są pozyskiwane przez wywołanie interfejsu API.

**Wykonaj następujące kroki, aby nawiązać połączenie z analizą zagrożeń: **

1. Uzyskiwanie tokenu dostępu Microsoft Entra ID

Aby wysłać żądanie do interfejsów API, musisz uzyskać token dostępu Microsoft Entra ID. Możesz postępować zgodnie z instrukcjami na tej stronie: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • Uwaga: zażądaj Microsoft Entra ID tokenu dostępu z wartością zakresu: [variables('managementUri')]

2. Wysyłanie obiektów STIX do Sentinel

Obsługiwane typy obiektów STIX można wysłać, wywołując nasz interfejs API przekazywania. Aby uzyskać więcej informacji na temat interfejsu API, kliknij tutaj.

Metoda HTTP: POST

Punkt końcowy: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID: obszar roboczy, do który są przekazywane obiekty STIX.

Wartość nagłówka 1: "Autoryzacja" = "Element nośny [Microsoft Entra ID token dostępu z kroku 1]"

Wartość nagłówka 2: "Content-Type" = "application/json"

Treść: treść jest obiektem JSON zawierającym tablicę obiektów STIX.



Przesyłanie łącznika zabezpieczeń (przy użyciu Azure Functions)

Obsługiwane przez:Transmit Security

Łącznik danych [Transmit Security] umożliwia pozyskiwanie typowych zdarzeń interfejs API Zabezpieczenia przesyłania do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TransmitSecurityActivity_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Identyfikator klienta interfejsu API REST: Wymagany jest identyfikator klienta usługi TransmitSecurityClientID . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze https://developer.transmitsecurity.com/.
  • Klucz tajny klienta interfejsu API REST: Wymagany jest element TransmitSecurityClientSecret . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze https://developer.transmitsecurity.com/.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejs API Zabezpieczenia przesyłania w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji interfejs API Zabezpieczenia przesyłania

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Zaloguj się do portalu usługi Transmit Security Portal.
  2. Konfigurowanie aplikacji do zarządzania. Nadaj aplikacji odpowiednią nazwę, na przykład MyAzureSentinelCollector.
  3. Zapisz poświadczenia nowego użytkownika do użycia w łączniku danych.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych usługi Transmit Security należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych usługi Transmit Security przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów.

  1. Wprowadź elementy TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint i wdróż.

  2. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  3. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych usługi Transmit Security przy użyciu Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Musisz przygotować program VS Code do tworzenia funkcji Azure.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum na lokalnym komputerze deweloperskim.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji.

    Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure.

    Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane).

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions.

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i obniżyć koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do portalu Azure, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Wybierz pozycję Zmienne środowiskowe.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri , aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą. dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zastosuj.



Trellix Endpoint Security (za pośrednictwem struktury łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Trellix Endpoint Security umożliwia pozyskiwanie zdarzeń zabezpieczeń z punktu końcowego Trellix (ePolicy Orchestrator) do Microsoft Sentinel. Ten łącznik używa uwierzytelniania poświadczeń klienta OAuth2 i automatycznie obsługuje podział na strony w celu zbierania kompleksowych danych zabezpieczeń punktu końcowego, w tym wykrywania zagrożeń, informacji analizatora, szczegółów systemu źródłowego i docelowego oraz akcji reagowania na zagrożenia.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TrellixEvents Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

1. Konfiguracja interfejsu API

Skonfiguruj połączenie interfejsu API ePO rozwiązania Trellix.

Podaj klucz interfejsu API na potrzeby uwierzytelniania. Zostanie on wysłany w nagłówku x-api-key.

  • Klucz interfejsu API: (Wprowadź klucz interfejsu API)

Uwaga: klucz interfejsu API będzie bezpiecznie przechowywany i używany do uwierzytelniania za pomocą interfejsu API ePO Trellix.

2. Konfiguracja uwierzytelniania

Skonfiguruj poświadczenia uwierzytelniania OAuth2.

Uwaga: uwierzytelnianie OAuth2 zapewnia bezpieczny dostęp do punktów końcowych interfejsu API.

3. Włączanie łącznika

Aktywowanie łącznika Trellix Endpoint Security

Aktywacja łącznika

Przejrzyj konfigurację i włącz łącznik, aby rozpocząć zbieranie zdarzeń zabezpieczeń.

  • Włączanie/wyłączanie połączenia po połączeniu

Po nawiązaniu połączenia monitoruj stan łącznika na stronie Łączniki danych . Dane powinny zacząć pojawiać się w ciągu 5–10 minut.



Trend Vision One (przy użyciu Azure Functions)

Obsługiwane przez:Trend Micro

Łącznik Trend Vision One umożliwia łatwe łączenie danych alertów aplikacji Workbench z Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia niestandardowych alertów oraz ulepszania możliwości monitorowania i badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci/systemów organizacji i zwiększyć możliwości operacji zabezpieczeń.

Łącznik Trend Vision One jest obsługiwany w Microsoft Sentinel w następujących regionach: Australia Wschodnia, Australia Południowo-Wschodnia, Brazylia Południowa, Kanada Środkowa, Kanada Wschodnia, Indie Środkowe, Środkowe stany USA, Azja Wschodnia, Wschodnie stany USA, Wschodnie stany USA 2, Francja Środkowa, Japonia Środkowa, Korea Środkowa, Europa Północna, Norwegia Wschodnia, Południowa Afryka Północna, Południowo-Środkowe stany USA, Azja Południowo-Wschodnia, Szwecja Środkowa, Szwajcaria Północna, Zjednoczone Emiraty Arabskie Północne, Południowe Zjednoczone Królestwo, Zachodnie Zjednoczone Królestwo, Europa Zachodnia, Zachodnie stany USA, Zachodnie stany USA 2, Zachodnie stany USA 3.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
TrendMicro_XDR_WORKBENCH_CL Nie Nie
TrendMicro_XDR_RCA_Task_CL Nie Nie
TrendMicro_XDR_RCA_Result_CL Nie Nie
TrendMicro_XDR_OAT_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API usługi Trend Vision One: wymagany jest token interfejsu API usługi Trend Vision One. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API usługi Trend Vision One.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API usługi Trend Vision One w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji interfejsu API usługi Trend Vision One

Postępuj zgodnie z tymi instrukcjami , aby utworzyć konto i token uwierzytelniania interfejsu API.

KROK 2 — Użyj poniższej opcji wdrożenia, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika Trend Vision One należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępny token autoryzacji interfejsu API usługi Trend Vision One.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Wdrażanie szablonu Azure Resource Manager (ARM)

Ta metoda umożliwia zautomatyzowane wdrożenie łącznika usługi Trend Vision One przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź unikatową nazwę funkcji, identyfikator obszaru roboczego, klucz obszaru roboczego, token interfejsu API i kod regionu.

  • Uwaga: podaj odpowiedni kod regionu na podstawie miejsca wdrożenia wystąpienia usługi Trend Vision One: nas, eu, au, in, sg, jp
  • Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.



Zabezpieczenia Tropico — alerty

Obsługiwane przez:TROPICO Security

Pozyskiwanie alertów zabezpieczeń z platformy zabezpieczeń Tropico w formacie OCSF Security Finding.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
{{graphQueriesTableName}} Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Łączenie z platformą zabezpieczeń Tropico

Wprowadź klucz interfejsu API tylko do odczytu z ustawienia Tropico.

  • Klucz interfejsu API: (trop_xxxx...)
  • Włączanie/wyłączanie połączenia



Zabezpieczenia Tropico — zdarzenia

Obsługiwane przez:TROPICO Security

Pozyskiwanie zdarzeń zabezpieczeń z platformy zabezpieczeń Tropico w formacie OCSF Security Finding.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
{{graphQueriesTableName}} Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Łączenie z platformą zabezpieczeń Tropico

Wprowadź klucz interfejsu API tylko do odczytu z ustawienia Tropico.

  • Klucz interfejsu API: (trop_xxxx...)
  • Włączanie/wyłączanie połączenia



Zabezpieczenia Tropico — incydenty

Obsługiwane przez:TROPICO Security

Pozyskiwanie zdarzeń sesji atakujących z platformy zabezpieczeń Tropico.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
{{graphQueriesTableName}} Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Łączenie z platformą zabezpieczeń Tropico

Wprowadź klucz interfejsu API tylko do odczytu z ustawienia Tropico.

  • Klucz interfejsu API: (trop_xxxx...)
  • Włączanie/wyłączanie połączenia



Moduł ładujący dzienników systemu Windows (interfejs API pozyskiwania)

Obsługiwane przez:Upwind

Łącznik danych modułu ładującego dzienniki systemu Upwind pozyskuje zasoby platformy obliczeniowej z platformy zabezpieczeń chmury Upwind do tabeli niestandardowej Microsoft Sentinel przy użyciu funkcji Azure i interfejsu API pozyskiwania Azure Monitor (DCE/DCR).

System Upwind zapewnia zabezpieczenia chmury oparte na środowisku uruchomieniowym, co koreluje stan chmury z kontekstem obciążenia na żywo. Ten łącznik prezentuje spis usługi Upwind — zasoby platformy obliczeniowej w usługach AWS, GCP i Azure — bezpośrednio do Microsoft Sentinel w celu korelacji, wyszukiwania zagrożeń i wzbogacania zdarzeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
UpwindLogsAssets_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia interfejsu API systemu Upwind: wymagany jest identyfikator klienta interfejsu API systemu Upwind i klucz tajny klienta. Uzyskaj je z platformy Upwind w obszarze Ustawienia → kluczy interfejsu API. Poświadczenia klienta są używane do uwierzytelniania w https://auth.upwind.io/oauth/token celu uzyskania tokenu elementu nośnego.
  • Identyfikator organizacji systemu Upwind: wymagany jest identyfikator organizacji aplikacji Upwind. Znajdź go na platformie Upwind w obszarze Ustawienia → Organizacji.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions i interfejsu API Azure Monitor Ingestion (DCE/DCR) do wypychania dzienników usługi Upwind do Microsoft Sentinel. Szablon usługi ARM automatycznie tworzy punkt końcowy zbierania danych, niestandardową tabelę dzienników (UpwindLogsAssets_CL), regułę zbierania danych i przypisanie roli. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Monitor.

(Opcjonalnie) Podczas wdrażania wybierz Key Vault jako metodę uwierzytelniania, aby bezpiecznie przechowywać wpis tajny klienta usługi Upwind. Możesz podać istniejącą nazwę Key Vault lub pozwolić szablonowi utworzyć nową. Tożsamość zarządzana przypisana przez użytkownika jest automatycznie konfigurowana przy użyciu wymaganych zasad dostępu Key Vault.

KROK 1 — Uzyskiwanie poświadczeń interfejsu API usługi Upwind

  1. Zaloguj się do platformy Upwind.
  2. Przejdź do pozycji Ustawienia → klucze interfejsu API.
  3. Utwórz nowy klucz interfejsu API i zanotuj identyfikator klienta i klucz tajny klienta.
  4. Przejdź do pozycji Ustawienia → Organizacji i zanotuj swój identyfikator organizacji.

KROK 2 — Wdrażanie aplikacji funkcji Azure

Kliknij pozycję Wdróż, aby Azure i wypełnić parametry. Szablon automatycznie tworzy interfejs DCE, UpwindLogs_CL tabelę, funkcję DCR, przypisanie roli i aplikację funkcji.

aka.ms

Parametry do wypełnienia:

Parametr Opis
WorkspaceName Nazwa obszaru roboczego usługi Log Analytics/Microsoft Sentinel
UpwindOrgId Identyfikator organizacji aplikacji Upwind z kroku 1
UpwindClientId Identyfikator klienta interfejsu API aplikacji Upwind z kroku 1
UpwindClientSecret Klucz tajny klienta interfejsu API systemu Upwind z kroku 1
AppInsightsWorkspaceResourceID Pełny identyfikator zasobu obszaru roboczego usługi Log Analytics (z obszaru roboczego usługi Log Analytics → właściwości)
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>



Sygnały behawioralne agenta vaikora AI

Obsługiwane przez:Data443 Risk Mitigation, Inc.

Pozyskiwanie sygnałów behawioralnych agenta sztucznej inteligencji z interfejsu API Vaikora do Microsoft Sentinel przy użyciu platformy ccf (Codeless Connector Framework). Monitorowanie akcji agenta, decyzji dotyczących zasad, wyników anomalii i poziomów ryzyka w celu wykrywania podejrzanych działań sztucznej inteligencji w środowisku.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Vaikora_AgentSignals_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Klucz interfejsu API Vaikora: klucz interfejsu API Vaikora (vk_xxxxx) z dostępem do odczytu do punktu końcowego akcji. Uzyskaj to z pulpitu nawigacyjnego Vaikora w obszarze Ustawienia > kluczy interfejsu API.

Instrukcje dotyczące konfiguracji:

Łączenie sygnałów behawioralnych agenta vaikora AI

Aby włączyć łącznik Vaikora, wprowadź poniżej swój klucz interfejsu API Vaikora i kliknij przycisk Połącz. Identyfikator agenta jest opcjonalny; użyj go, aby ograniczyć pozyskiwanie do pojedynczego agenta lub pozostawić go pustym, aby pozyskiwać akcje od wszystkich agentów, które może zobaczyć klucz.

Klucz interfejsu API jest dostępny na pulpicie nawigacyjnym Vaikora w obszarze Ustawienia > kluczy interfejsu API. Identyfikator agenta to identyfikator UUID wyświetlany na stronie szczegółów każdego agenta.

  • Klucz interfejsu API Vaikora: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
  • Vaikora Agent ID (opcjonalnie): (Pozostaw wartość pustą, aby monitorować wszystkich agentów)
  • Włączanie/wyłączanie połączenia



Valimail Wymuszaj zdarzenia konfiguracji

Obsługiwane przez:Valimail

Łącznik danych Valimail Configuration Events umożliwia pozyskiwanie zdarzeń konfiguracji domeny poczty e-mail z interfejsu API raportowania valimail do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ValimailEnforceEvents_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Kroki konfiguracji interfejsu API zdarzeń Valimail Postępuj zgodnie z instrukcjami w przewodniku, aby wygenerować zestaw poświadczeń interfejsu API raportowania. Zapisz utworzony identyfikator klienta i klucze identyfikatora aplikacji.

  • Slug konta klienta: (slug konta)
  • Identyfikator klienta interfejsu API: (poświadczenie identyfikatora klienta)
  • Identyfikator aplikacji interfejsu API: (poświadczenie identyfikatora aplikacji)
  • Włączanie/wyłączanie połączenia



Varonis Purview Push Connector

Obsługiwane przez:Varonis

Łącznik Usługi Varonis Purview umożliwia synchronizowanie zasobów z usługi Varonis do usługi Microsoft Purview.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
VaronisResources_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników

Instrukcje dotyczące konfiguracji:

1. Uruchom to polecenie, aby skonfigurować pozyskiwanie dla zasobów Varonis

Spowoduje to utworzenie niezbędnych tabel usługi Log Analytics, reguły zbierania danych (DCR) i aplikacji Entra w celu bezpiecznego wysyłania danych do kontrolera DOMENY.

Zautomatyzowana konfiguracja i bezpieczne pozyskiwanie danych za pomocą Entra kliknięcie pozycji "Wdróż" spowoduje utworzenie tabel usługi Log Analytics i reguły zbierania danych (DCR). Następnie utworzy aplikację Entra, połączy z nią dcr i ustawi wprowadzony wpis tajny w aplikacji. Ta konfiguracja umożliwia bezpieczne wysyłanie danych do kontrolera DOMENY przy użyciu tokenu Entra.

2. Wypchnięcie dzienników do obszaru roboczego

Użyj następujących parametrów, aby skonfigurować łącznik usługi Varonis Purview na pulpicie nawigacyjnym integracji varonis.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra Identyfikator aplikacji rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny rejestracji aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Nazwa Stream zasobów: <wartość zmiennej podana w czasie instalacji>



Varonis SaaS

Obsługiwane przez:Varonis

Usługa Varonis SaaS zapewnia możliwość pozyskiwania alertów Varonis do Microsoft Sentinel.

Varonis priorytetyzuje głęboką widoczność danych, możliwości klasyfikacji i zautomatyzowane korygowanie dostępu do danych. Usługa Varonis tworzy jeden priorytetowy widok ryzyka dla danych, dzięki czemu można proaktywnie i systematycznie eliminować ryzyko związane z zagrożeniami wewnętrznymi i cyberatakami.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
VaronisAlerts_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z usługą Varonis DatAlert w celu ściągania alertów do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika Azure Functions.

W przypadku instalacji funkcji Azure i powiązanych usług użyj:

portal.azure.com

KROK 1 . Uzyskiwanie poświadczeń interfejsu API punktu końcowego Varonis DatAlert.

Aby wygenerować identyfikator klienta i klucz interfejsu API:

  1. Uruchom interfejs internetowy Varonis.
  2. Przejdź do pozycji Konfiguracja —> klucze interfejsu API. Zostanie wyświetlona strona Klucze interfejsu API.
  3. Kliknij pozycję Utwórz klucz interfejsu API. Ustawienia Dodaj nowy klucz interfejsu API są wyświetlane po prawej stronie.
  4. Podaj nazwę i opis.
  5. Kliknij przycisk Generuj klucz.
  6. Skopiuj wpis tajny klucza interfejsu API i zapisz go w przydatnej lokalizacji. Nie będzie można skopiować go ponownie.

Aby uzyskać dodatkowe informacje, sprawdź: Dokumentacja usługi Varonis

KROK 2 . Wdrażanie łącznika i skojarzonej funkcji Azure.

  • Nazwa obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure.

    portal.azure.com

  2. Wybierz preferowaną subskrypcję, grupę zasobów, region, typ konta magazynu.

  3. Wprowadź nazwę obszaru roboczego usługi Log Analytics, nazwę FQDN varonis, klucz interfejsu API varonis SaaS.

  4. Kliknij pozycję Przejrzyj i utwórz, utwórz.



Vectra XDR (przy użyciu Azure Functions)

Obsługiwane przez:Vectra Support

Łącznik Vectra XDR umożliwia pozyskiwanie danych wykrywania vectry, inspekcji, oceniania jednostek, blokady, kondycji i jednostek do Microsoft Sentinel za pośrednictwem interfejsu API REST platformy Vectra. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją https://support.vectra.ai/s/article/KB-VS-1666 interfejsu API.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Detections_Data_CL Tak Tak
Audits_Data_CL Tak Tak
Entity_Scoring_Data_CL Tak Tak
Lockdown_Data_CL Tak Tak
Health_Data_CL Tak Tak
Entities_Data_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: Identyfikator klienta vectra i klucz tajny klienta są wymagane do zbierania danych kondycji, oceniania jednostek, jednostek, wykrywania, blokady i inspekcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze https://support.vectra.ai/s/article/KB-VS-1666.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API Vectra w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Wykonaj następujące kroki analizatora wykrywania, analizatora inspekcji, analizatora oceniania jednostek, analizatora blokady i analizatora kondycji , aby utworzyć alias funkcji Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown i VectraHealth.

KROK 1 — Kroki konfiguracji poświadczeń interfejsu API Vectra

Postępuj zgodnie z tymi instrukcjami, aby utworzyć identyfikator klienta vectra i klucz tajny klienta.

  1. Zaloguj się do portalu Vectra
  2. Przejdź do pozycji Zarządzanie —> klienci interfejsu API
  3. Na stronie Klienci interfejsu API wybierz pozycję "Dodaj klienta interfejsu API", aby utworzyć nowego klienta.
  4. Dodaj nazwę klienta, wybierz pozycję Rola i kliknij pozycję Generuj poświadczenia, aby uzyskać poświadczenia klienta.
  5. Pamiętaj, aby zarejestrować identyfikator klienta i klucz tajny do przechowywania. Te dwie informacje będą potrzebne do uzyskania tokenu dostępu z interfejsu API Vectra. Token dostępu jest wymagany do przesyłania żądań do wszystkich punktów końcowych interfejsu API Vectra.

KROK 2 — Kroki rejestracji aplikacji dla aplikacji w Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w Microsoft Entra ID:

  1. Zaloguj się do witryny Azure Portal.
  2. Wyszukaj i wybierz pozycję Microsoft Entra ID.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj , aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji Azure Portal wyświetla okienko Przegląd rejestracji aplikacji. Zostanie wyświetlony identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonywania łącznika danych Vectra.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 3 . Dodawanie wpisu tajnego klienta dla aplikacji w Microsoft Entra ID

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania łącznika danych Vectra. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty & wpisów tajnych >> klienta Nowy klucz tajny klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz wygaśnięcie wpisu tajnego lub określ niestandardowy okres istnienia. Limit wynosi 24 miesiące.
  5. Wybierz opcję Dodaj.
  6. Zarejestruj wartość wpisu tajnego do użycia w kodzie aplikacji klienckiej. Ta wartość wpisu tajnego nigdy więcej nie jest wyświetlana po opuszczeniu tej strony. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonywania łącznika danych Vectra.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 4 . Pobieranie identyfikatora obiektu aplikacji w Microsoft Entra ID

Po utworzeniu rejestracji aplikacji wykonaj kroki opisane w tej sekcji, aby uzyskać identyfikator obiektu:

  1. Przejdź do Microsoft Entra ID.
  2. Wybierz pozycję Aplikacje dla przedsiębiorstw z menu po lewej stronie.
  3. Znajdź nowo utworzoną aplikację na liście (możesz wyszukiwać według podanej nazwy).
  4. Kliknij aplikację.
  5. Na stronie przeglądu skopiuj identyfikator obiektu. Jest to identyfikator AzureEntraObjectId wymagany do przypisania roli szablonu usługi ARM.

KROK 5 — Przypisywanie roli Współautor do aplikacji w Microsoft Entra ID

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W Azure Portal przejdź do grupy zasobów i wybierz grupę zasobów.
  2. Przejdź do obszaru Kontrola dostępu (IAM) z lewego panelu.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę, a następnie kliknij przycisk dalej.
  5. W obszarze Przypisywanie dostępu do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz nazwę utworzonej aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz, a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 6 . Tworzenie magazynu kluczy

Postępuj zgodnie z tymi instrukcjami, aby utworzyć nowy magazyn kluczy.

  1. W Azure Portal przejdź do pozycji Magazyny kluczy i kliknij pozycję Utwórz.
  2. Wybierz pozycję Podsieć, Grupa zasobów i podaj unikatową nazwę magazynu kluczy.

KROK 7 — Tworzenie zasad dostępu w usłudze Keyvault

Postępuj zgodnie z tymi instrukcjami, aby utworzyć zasady dostępu w usłudze Keyvault.

  1. Przejdź do funkcji keyvaults, wybierz swój magazyn kluczy, przejdź do pozycji Zasady dostępu w panelu po lewej stronie, kliknij pozycję utwórz.
  2. Wybierz wszystkie klucze & uprawnienia wpisów tajnych. Kliknij przycisk dalej.
  3. W sekcji podmiotu zabezpieczeń wyszukaj według nazwy aplikacji, która została wygenerowana w kroku KROK-2. Kliknij przycisk dalej.

Uwaga: upewnij się, że model uprawnień w konfiguracji dostępu Key Vault jest ustawiony na wartość "Zasady dostępu do magazynu"

KROK 8 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Vectra należy łatwo udostępnić poświadczenia autoryzacji interfejsu API Vectra.

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika Vectra.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Nazwa obszaru roboczego nazwy funkcji Vectra Base URL (https://< vectra-portal-url>) Identyfikator klienta Vectra — Klucz tajny klienta usługi Vectra kondycji — Identyfikator klienta vectra kondycji — Klucz tajny klienta vectra oceniania jednostek — identyfikator klienta vectra oceniania jednostek — wykrywanie vecTra Client Secret — Wykrywanie identyfikatora klienta Vectra — Inspekcje wpisu tajnego klienta vectra — inspekcja identyfikatora klienta Vectra — lockdown vectra client secret — identyfikator klienta lockdown Vectra — Host-Entity wpis tajny klienta Vectra — identyfikator klienta Host-Entity Vectra — Account-Entity Vectra Client Secret — nazwa Account-Entity Key Vault Azure identyfikator klienta Azure identyfikator dzierżawy klucza tajnego klienta Azure Entra ObjectID StartTime (w MM/DD/RRRR HH:MM:SS Format) Uwzględnij współczynnik zmniejszeń liczby inspekcji Nazwa tabeli Wykrywa nazwę tabeli Nazwa tabeli Ocenianie nazwy tabeli Nazwa tabeli Nazwa tabeli Nazwa tabeli Kondycja Nazwa tabeli Wykluczanie szczegółów grupy z poziomu dziennika wykrywania (ustawienie domyślne: INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Vectra z Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. VECTRAXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.8 lub nowszą.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie, z odpowiednimi wartościami (wielkość liter): Identyfikator obszaru roboczego Klucz obszaru roboczego Vectra Podstawowy adres URL (https://< vectra-portal-url>) Identyfikator klienta Vectra — Klucz tajny klienta vectra kondycji — Identyfikator klienta vectra kondycji — Vectra — Vectra — Entity Scoring Ve Klucz tajny klienta — identyfikator klienta vectra oceniania jednostek — wykrywanie wpisu tajnego klienta vectra — wykrywanie identyfikatora klienta Vectra — inspekcja wpisu tajnego klienta vectra — inspekcja identyfikatora klienta Vectra — blokada wpisu tajnego klienta vectra — blokada Vectra Client Id — Host-Entity Vectra Client Secret — identyfikator klienta Host-Entity Vectra — Account-Entity wpis tajny klienta vectra — nazwa Account-Entity Key Vault identyfikator klienta Azure identyfikator klienta Azure dzierżawy klucza tajnego klienta Id StartTime (w MM/DD/RRRR HH:MM:SS Format) Uwzględnij score decrease audits table name detections nazwa tabeli Name Entity Scoring Table Name Lockdown Nazwa tabeli Nazwa tabeli Nazwa tabeli Jednostki Nazwa tabeli Poziom dziennika nazw tabeli (domyślnie: INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Veeam Data Connector (przy użyciu Azure Functions)

Obsługiwane przez:Veeam Software

Łącznik danych veeam umożliwia pozyskiwanie danych telemetrycznych veeam z wielu tabel niestandardowych do Microsoft Sentinel.

Łącznik obsługuje integrację z platformami Veeam Backup & Replication, Veeam ONE i Coveware w celu zapewnienia kompleksowego monitorowania i analizy zabezpieczeń. Dane są zbierane za pośrednictwem Azure Functions i przechowywane w niestandardowych tabelach usługi Log Analytics z dedykowanymi regułami zbierania danych (DCR) i punktami końcowymi zbierania danych (DCE).

Dołączone tabele niestandardowe:

  • VeeamMalwareEvents_CL: zdarzenia wykrywania złośliwego oprogramowania z usługi Veeam Backup & Replication
  • VeeamSecurityComplianceAnalyzer_CL: wyniki analizatora zgodności & zabezpieczeń zebrane ze składników infrastruktury kopii zapasowych rozwiązania Veeam
  • VeeamAuthorizationEvents_CL: zdarzenia autoryzacji i uwierzytelniania
  • VeeamOneTriggeredAlarms_CL: Wyzwalane alarmy z serwerów Veeam ONE
  • VeeamCovewareFindings_CL: Wyniki zabezpieczeń rozwiązania Coveware
  • VeeamSessions_CL: Sesje veeam

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
VeeamMalwareEvents_CL Tak Tak
VeeamSecurityComplianceAnalyzer_CL Tak Tak
VeeamOneTriggeredAlarms_CL Tak Tak
VeeamAuthorizationEvents_CL Tak Tak
VeeamCovewareFindings_CL Tak Tak
VeeamSessions_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Dostęp do infrastruktury veeam: wymagany jest dostęp do usługi Veeam Backup & interfejsu API REST replikacji i platformy monitorowania Veeam ONE. Obejmuje to odpowiednie poświadczenia uwierzytelniania i łączność sieciową.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsami API rozwiązania Veeam i ściągania danych do Microsoft Sentinel tabel niestandardowych. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika Azure Functions.

KROK 1 — Wybierz opcję wdrożenia dla łącznika danych veeam i skojarzonych Azure Functions

WAŻNE: Przed wdrożeniem łącznika danych veeam przygotuj nazwę obszaru roboczego (można skopiować z następujących elementów).

  • Nazwa obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych veeam przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    portal.azure.com

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź Microsoft Sentinel Nazwa obszaru roboczego.

  4. Kliknij pozycję Przejrzyj i utwórz, utwórz.



VersasecCms

Obsługiwane przez:Versasec Support

Łącznik danych VersasecCms umożliwia pozyskiwanie dzienników do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
VersasecCmsSysLogs_CL Nie Nie
VersasecCmsErrorLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Konfiguracja

Wprowadź poświadczenia dla funkcji VersasecCms.

  • Adres URL zarządzania:
  • Ścieżka podstawowa interfejsu API:
  • Token interfejsu API:
  • Interwał sondowania (w minutach)::
  • Włączanie/wyłączanie połączenia



VirtualMetric DataStream dla Microsoft Sentinel

Obsługiwane przez:VirtualMetric

Łącznik VirtualMetric DataStream wdraża reguły zbierania danych w celu pozyskiwania danych telemetrycznych zabezpieczeń w Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Rejestracja aplikacji lub Azure tożsamość zarządzana: usługa VirtualMetric DataStream wymaga tożsamości Entra identyfikatora do uwierzytelniania i wysyłania dzienników do Microsoft Sentinel. Możesz wybrać między utworzeniem rejestracji aplikacji przy użyciu identyfikatora klienta i klucza tajnego klienta lub użyciem tożsamości zarządzanej Azure w celu zwiększenia zabezpieczeń bez zarządzania poświadczeniami.
  • Przypisanie roli grupy zasobów: wybrana tożsamość (rejestracja aplikacji lub tożsamość zarządzana) musi zostać przypisana do grupy zasobów zawierającej punkt końcowy zbierania danych z następującymi rolami: Program Monitoring Metrics Publisher (do pozyskiwania dzienników) i Czytelnik monitorowania (do odczytu konfiguracji strumienia).

Instrukcje dotyczące konfiguracji:

Konfigurowanie wirtualnegometrycznego strumienia danych dla Microsoft Sentinel

Skonfiguruj parametr VirtualMetric DataStream dla Microsoft Sentinel do wysyłania danych.

Rejestrowanie aplikacji w Microsoft Entra ID (opcjonalnie)

Wybierz metodę uwierzytelniania: Opcja A: Użyj Azure tożsamości zarządzanej (zalecane)

  • Pomiń ten krok, jeśli planujesz używać tożsamości zarządzanej Azure do uwierzytelniania.
  • Azure Tożsamość zarządzana zapewnia bezpieczniejszą metodę uwierzytelniania bez zarządzania poświadczeniami.

Opcja B: Rejestrowanie aplikacji jednostki usługi

  1. Otwórz stronę Microsoft Entra ID:

    • Kliknij podany link, aby otworzyć stronę rejestracji Microsoft Entra ID na nowej karcie.
    • Upewnij się, że zalogowano się przy użyciu konta z uprawnieniami administratora aplikacji lub administratora globalnego .

  2. Utwórz nową aplikację:

    • W portalu Microsoft Entra ID wybierz pozycję Rejestracje aplikacji z nawigacji po lewej stronie.
    • Kliknij pozycję + Nowa rejestracja.
    • Wypełnij następujące pola:
  • Nazwa: wprowadź opisową nazwę aplikacji (np. "VirtualMetric ASIM Connector").
  • Obsługiwane typy kont: wybierz pozycję Konta tylko w tym katalogu organizacyjnym (pojedyncza dzierżawa).
  • Identyfikator URI przekierowania: pozostaw to pole puste.
    • Kliknij pozycję Zarejestruj , aby utworzyć aplikację.

  1. Skopiuj identyfikatory aplikacji i dzierżawy:

    • Po zarejestrowaniu aplikacji zanotuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy) na stronie Przegląd . Będą one potrzebne do konfiguracji usługi VirtualMetric DataStream.

  2. Tworzenie wpisu tajnego klienta:

    • W sekcji Certyfikaty & wpisów tajnych kliknij pozycję + Nowy klucz tajny klienta.
    • Dodaj opis (np. "VirtualMetric ASIM Secret") i ustaw odpowiedni okres wygaśnięcia.
    • Kliknij pozycję Dodaj.
    • Natychmiast skopiuj wartość wpisu tajnego klienta, ponieważ nie będzie ona wyświetlana ponownie. Przechowuj to bezpiecznie na potrzeby konfiguracji usługi VirtualMetric DataStream.

Przypisywanie wymaganych uprawnień

Przypisz wymagane role do wybranej metody uwierzytelniania (jednostka usługi lub tożsamość zarządzana) w grupie zasobów.

W przypadku jednostki usługi (jeśli ukończono krok 1):

  1. Przejdź do grupy zasobów:

    • Otwórz portal Azure i przejdź do grupy zasobów zawierającej obszar roboczy usługi Log Analytics oraz miejsce, w którym zostaną wdrożone reguły zbierania danych (DCRs).

  2. Przypisz rolę wydawcy metryk monitorowania:

    • W grupie zasobów kliknij pozycję Kontrola dostępu (IAM) z menu po lewej stronie.
    • Kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
    • Na karcie Rola wyszukaj i wybierz pozycję Monitorowanie wydawcy metryk.
    • Kliknij przycisk Dalej, aby przejść do karty Członkowie .
    • W obszarze Przypisywanie dostępu do wybierz pozycję Użytkownik, grupa lub jednostka usługi.
    • Kliknij pozycję + Wybierz członków i wyszukaj zarejestrowaną aplikację według nazwy lub identyfikatora klienta.
    • Wybierz aplikację i kliknij pozycję Wybierz.
    • Kliknij dwukrotnie pozycję Przejrzyj i przypisz , aby ukończyć przypisanie.

  3. Przypisz rolę czytelnika monitorowania:

    • Powtórz ten sam proces, aby przypisać rolę Czytelnik monitorowania :
    • Kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
    • Na karcie Rola wyszukaj i wybierz pozycję Czytelnik monitorowania.
    • Postępuj zgodnie z tym samym procesem wyboru elementu członkowskiego, co powyżej.
    • Kliknij dwukrotnie pozycję Przejrzyj i przypisz, aby ukończyć przypisanie. W przypadku Azure tożsamości zarządzanej:

  4. Tworzenie lub identyfikowanie tożsamości zarządzanej:

    • Jeśli używasz przypisanej przez system tożsamości zarządzanej: włącz ją w zasobie Azure (maszynie wirtualnej, App Service itp.).
    • Jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika: utwórz ją w grupie zasobów, jeśli nie istnieje.

  5. Przypisz rolę wydawcy metryk monitorowania:

    • Wykonaj te same kroki, co powyżej, ale na karcie Członkowie :
    • W obszarze Przypisywanie dostępu do wybierz pozycję Tożsamość zarządzana.
    • Kliknij pozycję + Wybierz członków i wybierz odpowiedni typ tożsamości zarządzanej i wybierz swoją tożsamość.
    • Kliknij pozycję Wybierz, a następnie dwukrotnie przejrzyj i przypisz do ukończenia.

  6. Przypisz rolę czytelnika monitorowania:

    • Powtórz proces, aby przypisać rolę Czytelnik monitorowania do tej samej tożsamości zarządzanej. Wymagane podsumowanie uprawnień: przypisane role zapewniają następujące możliwości:
  • Wydawca metryk monitorowania: zapisywanie danych w punktach końcowych zbierania danych (DCE) i wysyłanie danych telemetrycznych za pośrednictwem reguł zbierania danych (DCR)
  • Czytelnik monitorowania: konfiguracja strumienia odczytu i dostęp do obszaru roboczego usługi Log Analytics na potrzeby pozyskiwania tabeli usługi ASIM

Wdrażanie infrastruktury Azure

Wdróż wymagane punkty końcowe zbierania danych (DCE) i reguły zbierania danych (DCR) dla tabel Microsoft Sentinel przy użyciu naszego szablonu usługi ARM.

  1. Wdrażanie w Azure:

    • Kliknij przycisk Wdróż, aby Azure poniżej, aby automatycznie wdrożyć wymaganą infrastrukturę:
    • portal.azure.com
    • Spowoduje to bezpośrednie uruchomienie wdrożenia w Azure Portal.

  2. Konfigurowanie parametrów wdrożenia:

    • Na stronie wdrożenia niestandardowego skonfiguruj następujące ustawienia:

    Szczegóły projektu:

    • Subskrypcja: wybierz subskrypcję Azure z listy rozwijanej
    • Grupa zasobów: wybierz istniejącą grupę zasobów lub kliknij pozycję Utwórz nową, aby utworzyć nowe szczegóły wystąpienia:
    • Region: wybierz region Azure, w którym znajduje się obszar roboczy usługi Log Analytics (np. Europa Zachodnia)
    • Obszar roboczy: wprowadź nazwę obszaru roboczego usługi Log Analytics
    • Nazwa DCE: podaj nazwę punktu końcowego zbierania danych (np. "vmetric-dce")
    • Prefiks nazwy DCR: podaj prefiks reguł zbierania danych (np. "vmetric-dcr")

  3. Ukończ wdrożenie:

    • Kliknij pozycję Przejrzyj i utwórz , aby zweryfikować szablon.
    • Przejrzyj parametry i kliknij pozycję Utwórz , aby wdrożyć zasoby.
    • Poczekaj na zakończenie wdrożenia (zwykle trwa to 2–5 minut).

  4. Sprawdź wdrożone zasoby:

    • Po wdrożeniu sprawdź, czy zostały utworzone następujące zasoby:
  • Punkt końcowy zbierania danych (DCE): sprawdź punkty końcowe zbierania danych w portalu >> Azure
  • Reguły zbierania danych (DCRs): sprawdź, czy Azure portalu > monitorują > reguły zbierania danych
    • Skopiuj identyfikator URI pozyskiwania dzienników DCE ze strony Przegląd DCE (format: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • Skopiuj identyfikator zasobu DCE ze strony Przegląd DCE (format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • Dla każdego kontrolera DOMENY zanotuj niezmienny identyfikator ze strony Przegląd — będą one potrzebne do konfiguracji virtualmetric DataStream.

Konfigurowanie integracji z usługą VirtualMetric DataStream

Skonfiguruj usługę VirtualMetric DataStream, aby wysyłać dane telemetryczne zabezpieczeń do tabel Microsoft Sentinel.

  1. Uzyskaj dostęp do konfiguracji wirtualnego strumienia danych:

    • Zaloguj się do konsoli zarządzania VirtualMetric DataStream .
    • Przejdź do sekcji Obiekty docelowe zarządzania flotą>.
    • Kliknij przycisk Dodaj nowy obiekt docelowy .
    • Wybierz pozycję Microsoft Sentinel docelowej.

  2. Konfigurowanie ustawień ogólnych:

    • Nazwa: wprowadź nazwę obiektu docelowego (np. "cus01-ms-sentinel")
    • Opis: opcjonalnie podaj opis konfiguracji docelowej

  3. Skonfiguruj uwierzytelnianie Azure (wybierz na podstawie kroku 1): w przypadku uwierzytelniania jednostki usługi:

    • Tożsamość zarządzana dla Azure: pozostaw wyłączoną
    • Identyfikator dzierżawy: wprowadź identyfikator katalogu (dzierżawy) z kroku 1
    • Identyfikator klienta: wprowadź identyfikator aplikacji (klienta) z kroku 1
    • Klucz tajny klienta: wprowadź wartość wpisu tajnego klienta z kroku 1 w celu Azure tożsamości zarządzanej:
    • Tożsamość zarządzana dla Azure: ustawienie włączone

  4. Konfigurowanie właściwości Stream:

    • Punkt końcowy: wybierz metodę konfiguracji:
  • W przypadku ręcznej konfiguracji strumienia: wprowadź identyfikator URI pozyskiwania dzienników DCE (format: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • W przypadku wykrywania automatycznego strumienia: wprowadź identyfikator zasobu DCE (format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • Strumienie: wybierz opcję Automatycznie w celu automatycznego wykrywania strumieni lub w razie potrzeby skonfiguruj określone strumienie
  1. Sprawdź pozyskiwanie danych w Microsoft Sentinel:
    • Wróć do obszaru roboczego usługi Log Analytics
    • Uruchom przykładowe zapytania w tabelach usługi ASIM, aby potwierdzić, że odbierane są dane: 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • Sprawdź pulpit nawigacyjny Microsoft Sentinel Przegląd pod kątem nowych źródeł danych i liczby zdarzeń.



VirtualMetric DataStream dla Microsoft Sentinel data lake

Obsługiwane przez:VirtualMetric

Łącznik VirtualMetric DataStream wdraża reguły zbierania danych w celu pozyskiwania danych telemetrycznych zabezpieczeń w Microsoft Sentinel data lake.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Rejestracja aplikacji lub Azure tożsamość zarządzana: usługa VirtualMetric DataStream wymaga tożsamości Entra identyfikatora do uwierzytelniania i wysyłania dzienników do Microsoft Sentinel data lake. Możesz wybrać między utworzeniem rejestracji aplikacji przy użyciu identyfikatora klienta i klucza tajnego klienta lub użyciem tożsamości zarządzanej Azure w celu zwiększenia zabezpieczeń bez zarządzania poświadczeniami.
  • Przypisanie roli grupy zasobów: wybrana tożsamość (rejestracja aplikacji lub tożsamość zarządzana) musi zostać przypisana do grupy zasobów zawierającej punkt końcowy zbierania danych z następującymi rolami: Program Monitoring Metrics Publisher (do pozyskiwania dzienników) i Czytelnik monitorowania (do odczytu konfiguracji strumienia).

Instrukcje dotyczące konfiguracji:

Konfigurowanie usługi VirtualMetric DataStream dla usługi Microsoft Sentinel data lake

Skonfiguruj usługę VirtualMetric DataStream dla usługi Microsoft Sentinel data lake w celu wysyłania danych.

Rejestrowanie aplikacji w Microsoft Entra ID (opcjonalnie)

Wybierz metodę uwierzytelniania: Opcja A: Użyj Azure tożsamości zarządzanej (zalecane)

  • Pomiń ten krok, jeśli planujesz używać tożsamości zarządzanej Azure do uwierzytelniania.
  • Azure Tożsamość zarządzana zapewnia bezpieczniejszą metodę uwierzytelniania bez zarządzania poświadczeniami.

Opcja B: Rejestrowanie aplikacji jednostki usługi

  1. Otwórz stronę Microsoft Entra ID:

    • Kliknij podany link, aby otworzyć stronę rejestracji Microsoft Entra ID na nowej karcie.
    • Upewnij się, że zalogowano się przy użyciu konta z uprawnieniami administratora aplikacji lub administratora globalnego .

  2. Utwórz nową aplikację:

    • W portalu Microsoft Entra ID wybierz pozycję Rejestracje aplikacji z nawigacji po lewej stronie.
    • Kliknij pozycję + Nowa rejestracja.
    • Wypełnij następujące pola:
  • Nazwa: wprowadź opisową nazwę aplikacji (np. "VirtualMetric ASIM Connector").
  • Obsługiwane typy kont: wybierz pozycję Konta tylko w tym katalogu organizacyjnym (pojedyncza dzierżawa).
  • Identyfikator URI przekierowania: pozostaw to pole puste.
    • Kliknij pozycję Zarejestruj , aby utworzyć aplikację.

  1. Skopiuj identyfikatory aplikacji i dzierżawy:

    • Po zarejestrowaniu aplikacji zanotuj identyfikator aplikacji (klienta) i identyfikator katalogu (dzierżawy) na stronie Przegląd . Będą one potrzebne do konfiguracji usługi VirtualMetric DataStream.

  2. Tworzenie wpisu tajnego klienta:

    • W sekcji Certyfikaty & wpisów tajnych kliknij pozycję + Nowy klucz tajny klienta.
    • Dodaj opis (np. "VirtualMetric ASIM Secret") i ustaw odpowiedni okres wygaśnięcia.
    • Kliknij pozycję Dodaj.
    • Natychmiast skopiuj wartość wpisu tajnego klienta, ponieważ nie będzie ona wyświetlana ponownie. Przechowuj to bezpiecznie na potrzeby konfiguracji usługi VirtualMetric DataStream.

Przypisywanie wymaganych uprawnień

Przypisz wymagane role do wybranej metody uwierzytelniania (jednostka usługi lub tożsamość zarządzana) w grupie zasobów.

W przypadku jednostki usługi (jeśli ukończono krok 1):

  1. Przejdź do grupy zasobów:

    • Otwórz portal Azure i przejdź do grupy zasobów zawierającej obszar roboczy usługi Log Analytics oraz miejsce, w którym zostaną wdrożone reguły zbierania danych (DCRs).

  2. Przypisz rolę wydawcy metryk monitorowania:

    • W grupie zasobów kliknij pozycję Kontrola dostępu (IAM) z menu po lewej stronie.
    • Kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
    • Na karcie Rola wyszukaj i wybierz pozycję Monitorowanie wydawcy metryk.
    • Kliknij przycisk Dalej, aby przejść do karty Członkowie .
    • W obszarze Przypisywanie dostępu do wybierz pozycję Użytkownik, grupa lub jednostka usługi.
    • Kliknij pozycję + Wybierz członków i wyszukaj zarejestrowaną aplikację według nazwy lub identyfikatora klienta.
    • Wybierz aplikację i kliknij pozycję Wybierz.
    • Kliknij dwukrotnie pozycję Przejrzyj i przypisz , aby ukończyć przypisanie.

  3. Przypisz rolę czytelnika monitorowania:

    • Powtórz ten sam proces, aby przypisać rolę Czytelnik monitorowania :
    • Kliknij pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
    • Na karcie Rola wyszukaj i wybierz pozycję Czytelnik monitorowania.
    • Postępuj zgodnie z tym samym procesem wyboru elementu członkowskiego, co powyżej.
    • Kliknij dwukrotnie pozycję Przejrzyj i przypisz, aby ukończyć przypisanie. W przypadku Azure tożsamości zarządzanej:

  4. Tworzenie lub identyfikowanie tożsamości zarządzanej:

    • Jeśli używasz przypisanej przez system tożsamości zarządzanej: włącz ją w zasobie Azure (maszynie wirtualnej, App Service itp.).
    • Jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika: utwórz ją w grupie zasobów, jeśli nie istnieje.

  5. Przypisz rolę wydawcy metryk monitorowania:

    • Wykonaj te same kroki, co powyżej, ale na karcie Członkowie :
    • W obszarze Przypisywanie dostępu do wybierz pozycję Tożsamość zarządzana.
    • Kliknij pozycję + Wybierz członków i wybierz odpowiedni typ tożsamości zarządzanej i wybierz swoją tożsamość.
    • Kliknij pozycję Wybierz, a następnie dwukrotnie przejrzyj i przypisz do ukończenia.

  6. Przypisz rolę czytelnika monitorowania:

    • Powtórz proces, aby przypisać rolę Czytelnik monitorowania do tej samej tożsamości zarządzanej. Wymagane podsumowanie uprawnień: przypisane role zapewniają następujące możliwości:
  • Wydawca metryk monitorowania: zapisywanie danych w punktach końcowych zbierania danych (DCE) i wysyłanie danych telemetrycznych za pośrednictwem reguł zbierania danych (DCR)
  • Czytelnik monitorowania: konfiguracja strumienia odczytu i dostęp do obszaru roboczego usługi Log Analytics na potrzeby pozyskiwania tabeli usługi ASIM

Wdrażanie infrastruktury Azure

Wdróż wymagane punkty końcowe zbierania danych (DCE) i reguły zbierania danych (DCR) dla tabel usługi data lake Microsoft Sentinel przy użyciu naszego szablonu usługi ARM.

  1. Wdrażanie w Azure:

    • Kliknij przycisk Wdróż, aby Azure poniżej, aby automatycznie wdrożyć wymaganą infrastrukturę:
    • portal.azure.com
    • Spowoduje to bezpośrednie uruchomienie wdrożenia w Azure Portal.

  2. Konfigurowanie parametrów wdrożenia:

    • Na stronie wdrożenia niestandardowego skonfiguruj następujące ustawienia:

    Szczegóły projektu:

    • Subskrypcja: wybierz subskrypcję Azure z listy rozwijanej
    • Grupa zasobów: wybierz istniejącą grupę zasobów lub kliknij pozycję Utwórz nową, aby utworzyć nowe szczegóły wystąpienia:
    • Region: wybierz region Azure, w którym znajduje się obszar roboczy usługi Log Analytics (np. Europa Zachodnia)
    • Obszar roboczy: wprowadź nazwę obszaru roboczego usługi Log Analytics
    • Nazwa DCE: podaj nazwę punktu końcowego zbierania danych (np. "vmetric-dce")
    • Prefiks nazwy DCR: podaj prefiks reguł zbierania danych (np. "vmetric-dcr")

  3. Ukończ wdrożenie:

    • Kliknij pozycję Przejrzyj i utwórz , aby zweryfikować szablon.
    • Przejrzyj parametry i kliknij pozycję Utwórz , aby wdrożyć zasoby.
    • Poczekaj na zakończenie wdrożenia (zwykle trwa to 2–5 minut).

  4. Sprawdź wdrożone zasoby:

    • Po wdrożeniu sprawdź, czy zostały utworzone następujące zasoby:
  • Punkt końcowy zbierania danych (DCE): sprawdź punkty końcowe zbierania danych w portalu >> Azure
  • Reguły zbierania danych (DCRs): sprawdź, czy Azure portalu > monitorują > reguły zbierania danych
    • Skopiuj identyfikator URI pozyskiwania dzienników DCE ze strony Przegląd DCE (format: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • Skopiuj identyfikator zasobu DCE ze strony Przegląd DCE (format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • Dla każdego kontrolera DOMENY zanotuj niezmienny identyfikator ze strony Przegląd — będą one potrzebne do konfiguracji virtualmetric DataStream.

Konfigurowanie integracji z usługą VirtualMetric DataStream

Skonfiguruj usługę VirtualMetric DataStream, aby wysyłać dane telemetryczne zabezpieczeń do Microsoft Sentinel tabel usługi Data Lake.

  1. Uzyskaj dostęp do konfiguracji wirtualnego strumienia danych:

    • Zaloguj się do konsoli zarządzania VirtualMetric DataStream .
    • Przejdź do sekcji Obiekty docelowe zarządzania flotą>.
    • Kliknij przycisk Dodaj nowy obiekt docelowy .
    • Wybierz pozycję Microsoft Sentinel docelowej.

  2. Konfigurowanie ustawień ogólnych:

    • Nazwa: wprowadź nazwę obiektu docelowego (np. "cus01-ms-sentinel")
    • Opis: opcjonalnie podaj opis konfiguracji docelowej

  3. Skonfiguruj uwierzytelnianie Azure (wybierz na podstawie kroku 1): w przypadku uwierzytelniania jednostki usługi:

    • Tożsamość zarządzana dla Azure: pozostaw wyłączoną
    • Identyfikator dzierżawy: wprowadź identyfikator katalogu (dzierżawy) z kroku 1
    • Identyfikator klienta: wprowadź identyfikator aplikacji (klienta) z kroku 1
    • Klucz tajny klienta: wprowadź wartość wpisu tajnego klienta z kroku 1 w celu Azure tożsamości zarządzanej:
    • Tożsamość zarządzana dla Azure: ustawienie włączone

  4. Konfigurowanie właściwości Stream:

    • Punkt końcowy: wybierz metodę konfiguracji:
  • W przypadku ręcznej konfiguracji strumienia: wprowadź identyfikator URI pozyskiwania dzienników DCE (format: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • W przypadku wykrywania automatycznego strumienia: wprowadź identyfikator zasobu DCE (format: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • Strumienie: wybierz opcję Automatycznie w celu automatycznego wykrywania strumieni lub w razie potrzeby skonfiguruj określone strumienie
  1. Sprawdź pozyskiwanie danych w usłudze Microsoft Sentinel data lake:
    • Wróć do obszaru roboczego usługi Log Analytics
    • Uruchom przykładowe zapytania w tabelach usługi ASIM, aby potwierdzić, że odbierane są dane: 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • Sprawdź pulpit nawigacyjny Microsoft Sentinel Przegląd pod kątem nowych źródeł danych i liczby zdarzeń.



VirtualMetric Director Proxy

Obsługiwane przez:VirtualMetric

Serwer proxy usługi VirtualMetric Director wdraża aplikację funkcji Azure, aby bezpiecznie połączyć usługę VirtualMetric DataStream z usługami Azure, w tym Microsoft Sentinel, Azure Data Explorer i Azure Storage.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • aplikacja funkcji Azure: aplikacja funkcji Azure musi zostać wdrożona w celu hostowania serwera proxy usługi Director. Wymaga uprawnień do odczytu, zapisu i usuwania zasobów Microsoft.Web/sites w grupie zasobów w celu utworzenia aplikacji funkcji i zarządzania nią.
  • Konfiguracja wirtualnego strumienia danych: do nawiązania połączenia z serwerem proxy usługi Directory potrzebny jest wirtualnymetryczny przepływ danych skonfigurowany przy użyciu poświadczeń uwierzytelniania. Serwer proxy usługi Director działa jako bezpieczny most między usługami VirtualMetric DataStream i Azure.
  • Docelowe usługi Azure Services: skonfiguruj docelowe usługi Azure, takie jak punkty końcowe zbierania danych Microsoft Sentinel, klastry Azure Data Explorer lub konta magazynu Azure, w których serwer proxy usługi Directory będzie przekazywać dane dalej.

Instrukcje dotyczące konfiguracji:

Wdrażanie serwera proxy usługi VirtualMetric Director

Wdróż aplikację funkcji Azure, która służy jako bezpieczny serwer proxy między usługą VirtualMetric DataStream i Microsoft Sentinel.

Wymagania wstępne i kolejność wdrażania

Zalecana kolejność wdrażania:

Aby uzyskać optymalną konfigurację, rozważ najpierw wdrożenie łączników docelowych:

  1. Wdróż łącznik Microsoft Sentinel: najpierw wdróż łącznik VirtualMetric DataStream dla łącznika Microsoft Sentinel, aby utworzyć wymagane punkty końcowe i reguły zbierania danych.

  2. Wdrażanie łącznika Microsoft Sentinel data lake (opcjonalnie): jeśli używasz Microsoft Sentinel tabel usługi Data Lake, wdróż łącznik VirtualMetric DataStream for Microsoft Sentinel data lake.

  3. Wdróż serwer proxy dyrektora (ten krok): serwer proxy usługi Directory można następnie skonfigurować przy użyciu Microsoft Sentinel docelowych. Uwaga: To zamówienie jest zalecane, ale nie jest wymagane. Serwer proxy usługi Director można wdrożyć niezależnie i skonfigurować go przy użyciu obiektów docelowych później.

Wdrażanie aplikacji funkcji Azure

Wdróż aplikację funkcji VirtualMetric Director Proxy Azure Function przy użyciu przycisku Wdróż, aby Azure.

  1. Wdrażanie w Azure:

    • Kliknij przycisk Wdróż do Azure poniżej, aby wdrożyć aplikację funkcji:
    • portal.azure.com

  2. Konfigurowanie parametrów wdrożenia:

    • Subskrypcja: wybierz subskrypcję Azure
    • Grupa zasobów: wybierz tę samą grupę zasobów co obszar roboczy Microsoft Sentinel lub utwórz nową grupę zasobów
    • Region: wybierz region Azure (powinien być zgodny z regionem obszaru roboczego Microsoft Sentinel)
    • Nazwa aplikacji funkcji: podaj unikatową nazwę aplikacji funkcji (np. "vmetric-director-proxy")

  3. Pełne wdrożenie:

    • Kliknij pozycję Przejrzyj i utwórz , aby zweryfikować parametry
    • Kliknij pozycję Utwórz , aby wdrożyć aplikację funkcji
    • Poczekaj na zakończenie wdrożenia (zazwyczaj 3–5 minut)
    • Zwróć uwagę na adres URL aplikacji funkcji: https://<function-app-name>.azurewebsites.net

Konfigurowanie uprawnień aplikacji funkcji

Przypisz niezbędne uprawnienia do tożsamości zarządzanej aplikacji funkcji, aby uzyskać dostęp do Microsoft Sentinel zasobów.

  1. Włącz System-Assigned tożsamość zarządzana:

    • Przejdź do wdrożonej aplikacji funkcji w portalu Azure
    • Przejdź do pozycji Tożsamość w obszarze Ustawienia
    • Przełącz stan na włączone dla tożsamości przypisanej przez system
    • Kliknij przycisk Zapisz i potwierdź

  2. Przejdź do grupy zasobów:

    • Przejdź do grupy zasobów zawierającej obszar roboczy Microsoft Sentinel i punkty końcowe zbierania danych

  3. Przypisz wymagane role:

    • Otwórz kontrolę dostępu (IAM)
    • Kliknij pozycję + Dodaj > dodawanie przypisania roli
    • Przypisz następujące role do przypisanej przez system tożsamości zarządzanej aplikacji funkcji:
  • Wydawca metryk monitorowania: do wysyłania danych do punktów końcowych zbierania danych
  • Czytelnik monitorowania: do odczytywania konfiguracji reguł zbierania danych

  1. Wybierz tożsamość aplikacji funkcji:

    • Na karcie Członkowie wybierz pozycję Tożsamość zarządzana
    • Wybierz pozycję Aplikacja funkcji i wybierz wdrożoną aplikację funkcji serwera proxy usługi Directory
    • Ukończ przypisanie roli

  2. Pobierz token dostępu aplikacji funkcji (opcjonalnie na potrzeby uwierzytelniania za pomocą klucza funkcji):

    • Przejdź do aplikacji funkcji
    • Przejdź do pozycji Klucze aplikacji w obszarze Funkcje
    • Skopiuj domyślny klucz hosta lub utwórz nowy klucz funkcji na potrzeby uwierzytelniania

Konfigurowanie integracji z usługą VirtualMetric DataStream

Skonfiguruj usługę VirtualMetric DataStream, aby wysyłać dane telemetryczne zabezpieczeń do Microsoft Sentinel za pośrednictwem serwera proxy usługi Director.

  1. Uzyskaj dostęp do konfiguracji wirtualnego strumienia danych:

    • Zaloguj się do konsoli zarządzania VirtualMetric DataStream
    • Przejdź do sekcji Obiekty docelowe
    • Kliknij pozycję Microsoft Sentinel elementy docelowe
    • Kliknij pozycję Dodaj nowy obiekt docelowy lub edytuj istniejący obiekt docelowy Microsoft Sentinel

  2. Konfigurowanie ustawień ogólnych:

    • Nazwa: wprowadź nazwę obiektu docelowego (np. "sentinel-with-proxy")
    • Opis: opcjonalnie podaj opis konfiguracji docelowej

  3. Konfigurowanie uwierzytelniania Azure: w przypadku uwierzytelniania jednostki usługi:

    • Tożsamość zarządzana dla Azure: pozostaw wyłączoną
    • Identyfikator dzierżawy: wprowadź identyfikator dzierżawy usługi Azure Active Directory
    • Identyfikator klienta: wprowadź identyfikator aplikacji jednostki usługi
    • Klucz tajny klienta: wprowadź klucz tajny klienta jednostki usługi dla Azure tożsamości zarządzanej:
    • Tożsamość zarządzana dla Azure: ustawienie włączone

  4. Skonfiguruj serwer proxy usługi Director (na karcie właściwości Azure):

    • Adres punktu końcowego: wprowadź adres URL aplikacji funkcji z kroku 2 (format: https://<function-app-name>.azurewebsites.net)
    • Token dostępu: wprowadź klucz hosta aplikacji funkcji z kroku 3 (opcjonalnie, jeśli używasz tożsamości zarządzanej)

  5. Konfigurowanie właściwości Stream:

    • Punkt końcowy: wprowadź identyfikator URI pozyskiwania dzienników DCE (format: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • Strumienie: wybierz opcję Automatycznie w celu automatycznego wykrywania strumieni lub w razie potrzeby skonfiguruj określone strumienie

  6. Sprawdź pozyskiwanie danych w Microsoft Sentinel:

    • Wróć do obszaru roboczego usługi Log Analytics
    • Uruchom przykładowe zapytania, aby potwierdzić, że odbierane są dane: 
      CommonSecurityLog
| where TimeGenerated > ago(1h)
| take 10
    • Sprawdzanie pulpitu nawigacyjnego przeglądu Microsoft Sentinel pod kątem nowych źródeł danych i liczby zdarzeń



VMRayThreatIntelligence (przy użyciu Azure Functions)

Obsługiwane przez:VMRay

Łącznik VMRayThreatIntelligence automatycznie generuje i przesyła analizę zagrożeń dla wszystkich przesyłanych do programu VMRay, poprawiając wykrywanie zagrożeń i reagowanie na zdarzenia w Sentinel. Ta bezproblemowa integracja umożliwia zespołom aktywne reagowanie na pojawiające się zagrożenia.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ThreatIntelligenceIndicator Tak Nie

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz interfejsu API programu VMRay .

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions w celu nawiązania połączenia z interfejsem API programu VMRay w celu ściągnięcia do Microsoft Sentinel funkcji VMRay Threat IOCs. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach Azure Blob Storage. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Blob Storage cennik.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Wdrażanie łącznika analizy zagrożeń programu VMRay

  1. Upewnij się, że masz wszystkie wymagane wymagania wstępne: identyfikator klienta, identyfikator dzierżawy, klucz tajny klienta, klucz api programu VMRay i podstawowy adres URL programu VMRay.

  2. Aby uzyskać identyfikator klienta, klucz tajny klienta i identyfikator dzierżawy, postępuj zgodnie z tymi instrukcjami

  3. W przypadku planu flex consumption kliknij przycisk Wdróż, aby Azure poniżej:

    aka.ms

  4. W przypadku planu Premium kliknij przycisk Wdróż w Azure poniżej:

    aka.ms.



VMware Carbon Black Cloud za pośrednictwem platformy AWS S3 (za pośrednictwem platformy codeless Connector Framework)

Obsługiwane przez:Microsoft

VMware Carbon Black Cloud za pośrednictwem łącznika danych AWS S3 zapewnia możliwość pozyskiwania listy obserwowanych, alertów, uwierzytelniania i zdarzeń punktów końcowych za pośrednictwem usługi AWS S3 i przesyłania ich strumieniowo do tabel znormalizowanych przez usługę ASIM. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CarbonBlack_Alerts_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: S3, Simple Queue Service (SQS), role IAM i zasady uprawnień
  • Środowisko: do utworzenia zasobników usługi Data Forwarded do usługi AWS S3 musisz mieć czarne konto Carbon i wymagane uprawnienia. Aby uzyskać więcej informacji, zobacz Carbon Black Data Forwarder Docs

Instrukcje dotyczące konfiguracji:

  1. Wdrożenie AWS CloudFormation Aby skonfigurować dostęp na platformie AWS, wygenerowano dwa szablony w celu skonfigurowania środowiska platformy AWS do wysyłania dzienników z zasobnika S3 do obszaru roboczego usługi Log Analytics.

Dla każdego szablonu utwórz stos na platformie AWS:

  1. Przejdź do witryny AWS CloudFormation Stacks
  2. W usłudze AWS wybierz opcję "Przekaż plik szablonu", a następnie kliknij pozycję "Wybierz plik". Wybierz pobrany szablon
  3. Kliknij pozycje "Dalej" i "Utwórz stos"
  • Szablon 1: Wdrożenie uwierzytelniania openid connect: <wartość zmiennej podana w czasie instalacji>
  • Szablon 2: Wdrażanie zasobów AWS Carbon Black: <wartość zmiennej podana w czasie> instalacji Podczas wdrażania szablonu "Szablon 2: wdrażanie zasobów AWS Carbon Black" należy podać kilka parametrów
  • Nazwa stosu: wybrana nazwa stosu (pojawi się na liście stosów na platformie AWS)
  • Nazwa roli: musi zaczynać się od prefiksu "OIDC_", ma wartość domyślną.
  • Nazwa zasobnika: wybrana nazwa zasobnika, jeśli masz już istniejący zasobnik, wklej tutaj nazwę
  • CreateNewBucket: Jeśli masz już istniejący zasobnik, którego chcesz użyć dla tego łącznika, wybierz dla tej opcji wartość "false", w przeciwnym razie zostanie utworzony zasobnik o nazwie wprowadzonej w polu "Nazwa zasobnika".
  • Region: jest to region zasobów platformy AWS oparty na mapowaniu Carbon Black — aby uzyskać więcej informacji, zobacz dokumentację carbon black.
  • SQSQueuePrefix: stos tworzy wiele kolejek. Ten prefiks zostanie dodany do każdego z nich.
  • Identyfikator obszaru roboczego: użyj identyfikatora obszaru roboczego podanej poniżej.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie> instalacji po zakończeniu wdrażania — przejdź do karty "Dane wyjściowe", a zobaczysz: Role ARN, S3 bucket and 4 SQS resources created (Rola ARN, zasobnik S3 i 4 utworzone zasoby SQS). Te zasoby będą potrzebne w następnym kroku podczas konfigurowania usług przesyłania dalej danych carbon black i łącznika danych.

  1. Konfiguracja usługi przesyłania dalej danych Carbon Black Po utworzeniu wszystkich zasobów platformy AWS należy skonfigurować aplikację Carbon Black, aby przekazywać zdarzenia do zasobników platformy AWS w celu Microsoft Sentinel ich pozyskiwania. Postępuj zgodnie z dokumentacją firmy Carbon Black, aby dowiedzieć się, jak utworzyć usługę "Usługi przesyłania dalej danych" Użyj pierwszej zalecanej opcji. Po wyświetleniu monitu o wprowadzenie nazwy zasobnika użyj zasobnika utworzonego w poprzednim kroku. Konieczne będzie dodanie prefiksu "S3" dla każdego usługi przesyłania dalej. Użyj następującego mapowania:

    Typ zdarzenia Prefiks S3
    Alert carbon-black-cloud-forwarder/Alerts
    Zdarzenia uwierzytelniania carbon-black-cloud-forwarder/Auth
    Zdarzenia punktu końcowego carbon-black-cloud-forwarder/Punkt końcowy
    Hit listy obserwowanych carbon-black-cloud-forwarder/Watchlist

2.1. Przetestuj usługę przesyłania dalej danych (opcjonalnie) Aby sprawdzić, czy usługa przesyłania dalej danych jest skonfigurowana zgodnie z oczekiwaniami, w portalu Carbon Black wyszukaj właśnie utworzony usługę przesyłania dalej danych i kliknij przycisk "Przetestuj usługę przesyłania dalej" w kolumnie "Akcje", spowoduje to wygenerowanie pliku "HealthCheck" w zasobniku S3. Powinien zostać wyświetlony natychmiast.

  1. Łączenie nowych modułów zbierających Aby włączyć usługę AWS S3 dla Microsoft Sentinel, kliknij przycisk "Dodaj nowy moduł zbierający", wypełnij wymagane informacje, rola ARN i adres URL SQS są tworzone w kroku 1. Pamiętaj, że musisz wprowadzić prawidłowy adres URL SQS i wybrać odpowiedni typ zdarzenia z listy rozwijanej, na przykład jeśli chcesz pozyskiwać zdarzenia alertów, musisz skopiować adres URL SQS alertów i wybrać typ zdarzenia "Alerty" na liście rozwijanej lista rozwijana
  • Siatka łączników danych (konfigurowana w portalu)



Zdarzenia DNS systemu Windows za pośrednictwem usługi AMA

Obsługiwane przez:Microsoft Corporation

Łącznik dziennika DNS systemu Windows umożliwia łatwe filtrowanie i przesyłanie strumieniowe wszystkich dzienników analizy z serwerów DNS systemu Windows do obszaru roboczego Microsoft Sentinel przy użyciu agenta Azure Monitoring (AMA). Posiadanie tych danych w Microsoft Sentinel pomaga zidentyfikować problemy i zagrożenia bezpieczeństwa, takie jak:

  • Próba rozpoznania złośliwych nazw domen.
  • Nieaktualne rekordy zasobów.
  • Często wykonywane zapytania dotyczące nazw domen i rozmówców klientów DNS.
  • Ataki wykonywane na serwerze DNS.

Możesz uzyskać następujące informacje na temat serwerów DNS systemu Windows z Microsoft Sentinel:

  • Wszystkie dzienniki scentralizowane w jednym miejscu.
  • Żądanie obciążenia serwerów DNS.
  • Błędy dynamicznej rejestracji DNS.

Zdarzenia DNS systemu Windows są obsługiwane przez zaawansowany model informacji SIEM (ASIM) i przesyłają strumieniowo dane do tabeli ASimDnsActivityLogs. Dowiedz się więcej.

Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ASimDnsActivityLogs Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Zapora systemu Windows

Obsługiwane przez:Microsoft Corporation

Zapora systemu Windows to aplikacja systemu Microsoft Windows, która filtruje informacje przychodzące do systemu z Internetu i blokujące potencjalnie szkodliwe programy. Oprogramowanie blokuje komunikację większości programów za pośrednictwem zapory. Użytkownicy po prostu dodają program do listy dozwolonych programów, aby umożliwić mu komunikację za pośrednictwem zapory. W przypadku korzystania z sieci publicznej zapora systemu Windows może również zabezpieczyć system, blokując wszystkie niechciane próby nawiązania połączenia z komputerem. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Zdarzenia zapory systemu Windows za pośrednictwem usługi AMA

Obsługiwane przez:Microsoft Corporation

Zapora systemu Windows to aplikacja systemu Microsoft Windows, która filtruje informacje przychodzące do systemu z Internetu i blokujące potencjalnie szkodliwe programy. Oprogramowanie zapory blokuje komunikację większości programów za pośrednictwem zapory. Aby przesyłać strumieniowo dzienniki aplikacji Zapory systemu Windows zebrane z maszyn, użyj agenta Azure Monitor (AMA), aby przesyłać strumieniowo te dzienniki do obszaru roboczego Microsoft Sentinel.

Skonfigurowany punkt końcowy zbierania danych (DCE) musi być połączony z regułą zbierania danych (DCR) utworzoną dla usługi AMA w celu zbierania dzienników. W przypadku tego łącznika usługa DCE jest automatycznie tworzona w tym samym regionie co obszar roboczy. Jeśli używasz już interfejsu DCE przechowywanego w tym samym regionie, możesz zmienić domyślny utworzony interfejs DCE i użyć istniejącego za pośrednictwem interfejsu API. Kontrolery DOMENY mogą znajdować się w zasobach z prefiksem SentinelDCE w nazwie zasobu.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Zdarzenia przesyłane dalej w systemie Windows

Obsługiwane przez:Microsoft Corporation

Wszystkie dzienniki przekazywania zdarzeń systemu Windows (WEF) można przesyłać strumieniowo z serwerów z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta Azure Monitor (AMA). To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
WindowsEvent Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

zdarzenia Zabezpieczenia Windows za pośrednictwem usługi AMA

Obsługiwane przez:Microsoft Corporation

Wszystkie zdarzenia zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityEvent Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

WithSecure Elements API (funkcja Azure)

Obsługiwane przez:WithSecure

WithSecure Elements to ujednolicona platforma zabezpieczeń cybernetycznych oparta na chmurze zaprojektowana w celu zmniejszenia ryzyka, złożoności i nieefektywności.

Podnieś poziom zabezpieczeń z punktów końcowych do aplikacji w chmurze. Uzbroić się w każdy rodzaj zagrożenia cybernetycznego, od ukierunkowanych ataków do zero-day ransomware.

WithSecure Elements łączy w sobie zaawansowane funkcje zabezpieczeń predykcyjnych, zapobiegawczych i responsywnych — wszystkie zarządzane i monitorowane za pośrednictwem jednego centrum zabezpieczeń. Nasza modularna struktura i elastyczne modele cenowe zapewniają swobodę rozwoju. Dzięki naszej wiedzy i wglądowi zawsze będziesz mieć swoją siłę i nigdy nie będziesz sam.

Dzięki Microsoft Sentinel integracji można skorelować dane zdarzeń zabezpieczeń z rozwiązania WithSecure Elements z danymi z innych źródeł, umożliwiając rozbudowane omówienie całego środowiska i szybszą reakcję na zagrożenia.

Dzięki temu rozwiązaniu funkcja Azure jest wdrażana w dzierżawie, okresowo sonduj zdarzenia zabezpieczeń WithSecure Elements.

Aby uzyskać więcej informacji, odwiedź naszą stronę internetową: https://www.withsecure.com.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
WsSecurityEvents_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

1. Tworzenie poświadczeń interfejsu API withSecure Elements

Postępuj zgodnie z przewodnikiem użytkownika , aby utworzyć poświadczenia interfejsu API elementów. Zapisz poświadczenia w bezpiecznym miejscu.

2. Tworzenie aplikacji Microsoft Entra

Utwórz nową aplikację Microsoft Entra i poświadczenia. Postępuj zgodnie z instrukcjami i zapisz wartości identyfikatora katalogu (dzierżawy), identyfikatora obiektu, identyfikatora aplikacji (klienta) i klucza tajnego klienta (z pola poświadczenia klienta). Pamiętaj, aby przechowywać wpis tajny klienta w bezpiecznym miejscu.

3. Wdrażanie aplikacji funkcji

UWAGA: Ten łącznik używa Azure Functions do ściągania dzienników z elementów WithSecure. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj poświadczenia klienta Microsoft Entra i poświadczenia klienta interfejsu API withSecure Elements w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

WAŻNE: Przed wdrożeniem łącznika WithSecure Elements należy mieć nazwę obszaru roboczego (można skopiować z następujących elementów), dane z identyfikatora Microsoft Entra (katalogu (dzierżawy), identyfikatora obiektu, identyfikatora aplikacji (klienta) i klucza tajnego klienta), a także poświadczenia klienta withSecure Elements, które są łatwo dostępne.

  • Nazwa obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Wdrażanie wszystkich zasobów związanych z łącznikiem

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, identyfikator klienta Entra, Entra klucz tajny klienta, identyfikator dzierżawy Entra, identyfikator klienta interfejsu API elementów, klucz tajny klienta interfejsu API elementów.

Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań. 4. Możesz również wypełnić pola opcjonalne: adres URL interfejsu API elementów, Aparat, Grupa aparatu. Użyj wartości domyślnej adresu URL interfejsu API elementów, chyba że masz jakiś specjalny przypadek. Aparat i grupa aparatów mapują parametry żądania zdarzeń zabezpieczeń, podaj te parametry, jeśli interesuje Cię tylko zdarzenia z określonego aparatu lub grupy aparatów, jeśli chcesz otrzymywać wszystkie zdarzenia zabezpieczeń, pozostaw pola z wartościami domyślnymi. 5. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 6. Kliknij pozycję Kup , aby wdrożyć.



Wiz (przy użyciu Azure Functions)

Obsługiwane przez:Wiz

Łącznik Wiz umożliwia łatwe wysyłanie problemów z wizami, wyników luk w zabezpieczeniach i dzienników inspekcji do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) Nie Nie
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) Nie Nie
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia konta usługi Wiz: upewnij się, że masz identyfikator klienta konta usługi Wiz i klucz tajny klienta, adres URL punktu końcowego interfejsu API i adres URL uwierzytelniania. Instrukcje można znaleźć w dokumentacji programu Wiz.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik: używa Azure Functions do nawiązywania połączenia z interfejsem API wiz w celu ściągania problemów z wizem, wyników luk w zabezpieczeniach i dzienników inspekcji do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions. Tworzy Azure Key Vault ze wszystkimi wymaganymi parametrami przechowywanymi jako wpisy tajne.

KROK 1 . Pobieranie poświadczeń wiz

Postępuj zgodnie z instrukcjami w dokumentacji programu Wiz , aby uzyskać wymagane poświadczenia.

KROK 2 — Wdrażanie łącznika i skojarzonej funkcji Azure

WAŻNE: Przed wdrożeniem łącznika wiz należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także poświadczenia wiz z poprzedniego kroku.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1. Wdrażanie przy użyciu szablonu Azure Resource Manager (ARM)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź następujące parametry:

  • Wybierz pozycje KeyVaultName i FunctionName dla nowych zasobów

  • Wprowadź następujące poświadczenia wiz z kroku 1: WizAuthUrl, WizEndpointUrl, WizClientId i WizClientSecret

  • Wprowadź poświadczenia obszaru roboczego AzureLogsAnalyticsWorkspaceId i AzureLogAnalyticsWorkspaceSharedKey

  • Wybierz typy danych Wiz, które chcesz wysłać do Microsoft Sentinel, wybierz co najmniej jeden z pozycji Problemy z wizem, Wyniki luk w zabezpieczeniach i Dzienniki inspekcji.

  • (opcjonalnie) postępuj zgodnie z dokumentacją programu Wiz , aby dodać pozycje IssuesQueryFilter, VulnerbailitiesQueryFilter i AuditLogsQueryFilter.

  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2. Ręczne wdrażanie funkcji Azure

Postępuj zgodnie z dokumentacją programu Wiz , aby ręcznie wdrożyć łącznik.



Działanie użytkownika w dniu roboczym

Obsługiwane przez:Microsoft Corporation

Łącznik danych Aktywności użytkownika w dniu roboczym umożliwia pozyskiwanie dzienników aktywności użytkowników z interfejsu API usługi Workday do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ASimAuditEventLogs Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Dostęp do interfejsu API działania użytkownika w dniu roboczym: wymagany jest dostęp do interfejsu API działania użytkownika w dniu roboczym za pośrednictwem protokołu Oauth. Klient interfejsu API musi mieć zakres: System i musi być autoryzowany przez konto z uprawnieniami inspekcji systemu.

Instrukcje dotyczące konfiguracji:

Połącz się z programem Workday, aby rozpocząć zbieranie dzienników aktywności użytkowników w Microsoft Sentinel

  1. W programie Workday uzyskaj dostęp do zadania "Edytuj konfigurację dzierżawy — zabezpieczenia", sprawdź sekcję "Ustawienia protokołu OAuth 2.0", upewnij się, że pole wyboru "Włączono klienta OAuth 2.0" jest zaznaczone.
  2. W programie Workday uzyskaj dostęp do zadania "Edytuj konfigurację dzierżawy — system", sprawdź sekcję "Rejestrowanie aktywności użytkowników", upewnij się, że pole wyboru "Włącz rejestrowanie aktywności użytkownika" jest zaznaczone.
  3. W programie Workday uzyskaj dostęp do zadania "Zarejestruj klienta interfejsu API".
  4. Zdefiniuj nazwę klienta, wybierz pozycję "Typ udzielenia klienta": "Udzielanie kodu autoryzacji", a następnie wybierz pozycję "Typ tokenu dostępu": "Bearer"
  5. Wprowadź identyfikator URI przekierowania znaleziony w poniższym formularzu
  6. W sekcji "Zakres (obszary funkcjonalne)" wybierz pozycję "System" i kliknij przycisk OK u dołu
  7. Skopiuj identyfikator klienta i klucz tajny klienta przed odejściem od strony i zapisz go bezpiecznie.
  8. W Sentinel na stronie łącznika — podaj wymagane punkty końcowe tokenu, autoryzacji i dzienników aktywności użytkownika wraz z identyfikatorem klienta i wpisem tajnym klienta z poprzedniego kroku. Następnie kliknij pozycję "Połącz".
  9. Zostanie wyświetlone okno podręczne Workday w celu ukończenia uwierzytelniania i autoryzacji OAuth2 klienta interfejsu API. W tym miejscu należy podać poświadczenia dla konta workday z uprawnieniami "Inspekcja systemu" w dniu roboczym (może to być konto workday lub użytkownik systemu integracji).
  10. Po zakończeniu zostanie wyświetlony komunikat w celu autoryzowania klienta interfejsu API



Miejsce pracy z Facebook (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Workplace zapewnia możliwość pozyskiwania typowych zdarzeń w miejscu pracy do Microsoft Sentinel za pośrednictwem elementów webhook. Elementy webhook umożliwiają niestandardowym aplikacjom integracji subskrybowanie zdarzeń w miejscu pracy i otrzymywanie aktualizacji w czasie rzeczywistym. W przypadku zmiany w miejscu pracy żądanie HTTPS POST z informacjami o zdarzeniu jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Workplace_Facebook_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia elementów webhook: WorkplaceAppSecret, WorkplaceVerifyToken, adres URL wywołania zwrotnego są wymagane w przypadku działających elementów webhook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat konfigurowania elementów webhook i konfigurowania uprawnień.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych używa Azure Functions na podstawie wyzwalacza HTTP do oczekiwania na żądania POST z dziennikami w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją Azure Functions.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Log Analytics/Microsoft Sentinel Logs, kliknij pozycję Funkcje i wyszukaj alias WorkplaceFacebook i załaduj kod funkcji lub kliknij tutaj w drugim wierszu zapytania, wprowadź nazwy hostów urządzeń Facebook w miejscu pracy i inne unikatowe identyfikatory strumienia dzienników. Aktywacja funkcji zwykle trwa od 10 do 15 minut po instalacji/aktualizacji rozwiązania.

KROK 1 — Kroki konfiguracji dla miejsca pracy

Postępuj zgodnie z instrukcjami, aby skonfigurować elementy webhook.

  1. Zaloguj się do miejsca pracy przy użyciu Administracja poświadczeń użytkownika.
  2. W panelu Administracja kliknij pozycję Integracje.
  3. W widoku Wszystkie integracje kliknij pozycję Utwórz integrację niestandardową
  4. Wprowadź nazwę i opis, a następnie kliknij pozycję Utwórz.
  5. Na panelu Szczegóły integracji pokaż wpis tajny aplikacji i kopię.
  6. W okienku Uprawnienia integracji ustaw wszystkie uprawnienia do odczytu. Aby uzyskać szczegółowe informacje, zapoznaj się ze stroną uprawnień .
  7. Teraz przejdź do kroku 2, aby wykonać kroki (wymienione w opcji 1 lub 2) w celu wdrożenia funkcji Azure.
  8. Wprowadź żądane parametry, a także wprowadź wybrany token. Skopiuj ten token/ zanotuj go w nadchodzącym kroku.
  9. Po pomyślnym zakończeniu wdrażania Azure Functions otwórz stronę Aplikacja funkcji, wybierz aplikację, przejdź do pozycji Funkcje, kliknij pozycję Pobierz adres URL funkcji i skopiuj go / Zanotuj go w nadchodzącym kroku.
  10. Wstecz do miejsca pracy z Facebook. W panelu Konfigurowanie elementów webhook na każdej karcie ustaw adres URL wywołania zwrotnego jako tę samą wartość, którą skopiowano w punkcie 9 powyżej, i Sprawdź token jako tę samą wartość skopiowany w punkcie 8 powyżej, który został uzyskany podczas kroku 2 wdrożenia Azure Functions.
  11. Kliknij Zapisz.

KROK 2 — Wybierz jedną z dwóch następujących opcji wdrażania, aby wdrożyć łącznik i skojarzone Azure Functions

WAŻNE: Przed wdrożeniem łącznika danych Workplace należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Workplace przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź workplaceVerifyToken (może to być dowolne wyrażenie, skopiuj i zapisz je dla kroku 1), WorkplaceAppSecret i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć. 6. Po wdrożeniu otwartej strony aplikacji funkcji wybierz aplikację, przejdź do obszaru Funkcje i kliknij pozycję Pobierz adres URL funkcji , a następnie postępuj zgodnie z instrukcjami p.7 z KROKU 1.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych programu Sophos Endpoint Protection przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Platforma zabezpieczeń XBOW (za pośrednictwem funkcji Azure)

Obsługiwane przez:XBOW

Łącznik danych XBOW pozyskuje migawki zasobów, wyniki luk w zabezpieczeniach i działania oceny z platformy zabezpieczeń XBOW do Microsoft Sentinel. Funkcja Azure sonduje interfejs API XBOW na czasomierzu i wypycha migawki JSON zasobów do XbowAssets_CL, wzbogaconych wyników (z dowodami, przepisami poC, wpływem i środkami zaradczymi) do XbowFindings_CLzdarzeń cyklu życia i oceny do XbowAssessments_CLprogramu przy użyciu interfejsu API pozyskiwania Azure Monitor (DCE/DCR).

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
XbowAssets_CL Nie Nie
XbowFindings_CL Nie Nie
XbowAssessments_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Token interfejsu API XBOW: wymagany jest osobisty token dostępu XBOW. Wygeneruj jeden w konsoli XBOW w obszarze Ustawienia > Osobiste tokeny dostępu. Określ zakres tokenu dla organizacji, którą chcesz monitorować.
  • Identyfikator organizacji XBOW: identyfikator organizacji z konta XBOW. Znajdź go w adresie URL konsoli XBOW lub za pośrednictwem interfejsu API.
  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Niestandardowe wymagania wstępne, jeśli to konieczne, w przeciwnym razie usuń ten tag celny: Opis wszelkich niestandardowych wymagań wstępnych
  • Azure AD rejestracja aplikacji: wymagana jest rejestracja aplikacji Azure AD (jednostka usługi). Musisz ręcznie przypisać rolę wydawcy metryk monitorowania w regule zbierania danych (DCR) do tej rejestracji aplikacji po wdrożeniu.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions i interfejsu API Azure Monitor Ingestion (DCE/DCR) do pozyskiwania zasobów, wyników i ocen XBOW w Microsoft Sentinel. Szablon usługi ARM automatycznie tworzy punkt końcowy zbierania danych, niestandardowe tabele dzienników (XbowAssets_CL, XbowFindings_CLi XbowAssessments_CL), regułę zbierania danych i aplikację funkcji. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions i Azure Monitor.

(Krok opcjonalny) Bezpiecznie przechowuj token interfejsu API XBOW i poświadczenia rejestracji aplikacji w Azure Key Vault. Postępuj zgodnie z tymi instrukcjami, aby używać odwołań Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Generowanie tokenu interfejsu API XBOW

  1. Zaloguj się do konsoli XBOW z dostępem administratora.
  2. Kliknij ikonę profilu (w prawym górnym rogu), a następnie wybierz pozycję Ustawienia.
  3. Na lewym pasku bocznym kliknij pozycję Osobiste tokeny dostępu.
  4. Kliknij pozycję Generuj nowy token, podaj nazwę i wybierz zakres organizacji.
  5. Skopiuj i bezpiecznie zapisz token — nie będzie on wyświetlany ponownie.
  6. Podczas wyświetlania organizacji zanotuj identyfikator organizacji z konsoli XBOW lub adresu URL.

KROK 2 — Tworzenie rejestracji aplikacji Azure AD i przyznawanie roli DCR

  1. W portalu Azure przejdź do obszaru Azure Active Directory > Rejestracje aplikacji > Nowa rejestracja.
  2. Podaj nazwę (np. Xbow-Sentinel-Connector) i zarejestruj się.
  3. W obszarze Certyfikaty & wpisów tajnych utwórz nowy klucz tajny klienta. Zanotuj identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta.
  4. Wdróż łącznik przy użyciu kroku 3 poniżej, a następnie wróć tutaj.
  5. Otwórz wdrożoną regułę zbierania danych (z danych wyjściowych wdrożenia lub wyszukując w grupie zasobów).
  6. Przejdź do obszaru Kontrola dostępu (IAM) > Dodaj przypisanie roli.
  7. Wybierz pozycję Wydawca metryk monitorowania roli.
  8. Przypisz dostęp do utworzonej powyżej rejestracji aplikacji (jednostki usługi).
  9. Poczekaj kilka minut na propagację RBAC przed zweryfikowaniem pozyskiwania.

KROK 3 — Wdrażanie aplikacji funkcji Azure

Kliknij pozycję Wdróż, aby Azure i wypełnić parametry. Szablon automatycznie utworzy punkt końcowy zbierania danych, XbowAssets_CLtabele XbowFindings_CLi XbowAssessments_CL tabele, regułę zbierania danych i aplikację funkcji.

aka.ms

Parametry do wypełnienia:

Parametr Opis
WorkspaceName Nazwa obszaru roboczego usługi Log Analytics/Microsoft Sentinel
XbowApiToken Osobisty token dostępu XBOW z kroku 1
XbowOrgId Identyfikator organizacji XBOW z kroku 1
TenantId Azure AD identyfikator dzierżawy z kroku 2
ClientId Identyfikator klienta rejestracji aplikacji z kroku 2
ClientSecret Wpis tajny klienta rejestracji aplikacji z kroku 2
AppInsightsWorkspaceResourceID Pełny identyfikator zasobu obszaru roboczego usługi Log Analytics (z właściwości obszaru roboczego > usługi Log Analytics)
FunctionAppLocation Opcjonalny region Azure dla zasobów aplikacji funkcji (domyślnie jest to lokalizacja grupy zasobów)
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>



Segment zero sieci (wypychanie)

Obsługiwane przez:Zero Networks

Łącznik wypychania segmentu zero sieci umożliwia sieciom zero wysyłanie inspekcji, działań sieciowych, działań związanych z tożsamościami i działań RPC bezpośrednio do Microsoft Sentinel w czasie rzeczywistym. Wdróż łącznik, aby utworzyć regułę zbierania danych (DCR) i aplikację Microsoft Entra, a następnie skonfiguruj aplikację Zero Networks ze szczegółami połączenia w celu wypychania zdarzeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ZNAudit_CL Tak Tak
ZNNetworkActivity_CL Tak Tak
ZNIdentityActivity_CL Tak Tak
ZNRPCActivity_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
  • Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.

Instrukcje dotyczące konfiguracji:

1. Tworzenie zasobów usługi ARM i podawanie wymaganych uprawnień

Wdróż łącznik wypychania, aby utworzyć tabelę usługi Log Analytics, regułę zbierania danych (DCR), punkt końcowy zbierania danych (DCE) i aplikację Microsoft Entra. Następnie skonfiguruj aplikację Zero Networks przy użyciu szczegółów połączenia.

Kliknięcie opcji "Wdróż" w konfiguracji zautomatyzowanej spowoduje utworzenie funkcji DCR i DCE, a następnie Microsoft Entra rejestrację aplikacji przy użyciu wpisu tajnego klienta i udzielenie uprawnień do kontrolera DOMENY. Następnie aplikacja może bezpiecznie wysyłać dane przy użyciu poświadczeń klienta OAuth 2.0.

2. Konfigurowanie aplikacji Zero Networks

Użyj poniższych wartości, aby skonfigurować aplikację Zero Networks do wypychania inspekcji, działań sieciowych, działań tożsamości i działań RPC do Microsoft Sentinel.

  • Identyfikator dzierżawy (identyfikator katalogu): <wartość zmiennej podana w czasie instalacji>
  • Entra identyfikator aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Entra wpis tajny aplikacji: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator URI punktu końcowego zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Identyfikator niezmienny reguły zbierania danych: <wartość zmiennej podana w czasie instalacji>
  • Stream: Inspekcje: <wartość zmiennej podana w czasie instalacji>
  • Stream: Działania sieciowe: <wartość zmiennej podana w czasie instalacji>
  • Stream: Działania dotyczące tożsamości: <wartość zmiennej podana w czasie instalacji>
  • Stream: Działania RPC: <wartość zmiennej podana w czasie instalacji>



Inspekcja segmentu zero sieci

Obsługiwane przez:Zero Networks

Łącznik danych Inspekcja segmentu zero sieci umożliwia pozyskiwanie zdarzeń inspekcji zero sieci do Microsoft Sentinel za pośrednictwem interfejsu API REST. Ten łącznik danych używa Microsoft Sentinel natywnej funkcji sondowania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ZNSegmentAuditNativePoller_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Token interfejsu API zero sieci: ZeroNetworksAPIToken jest wymagany dla interfejsu API REST. Zapoznaj się z przewodnikiem po interfejsie API i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.

Instrukcje dotyczące konfiguracji:

Łączenie sieci zero z Microsoft Sentinel

Wprowadź adres URL interfejsu API zero sieci (np. portal.zeronetworks.com). Łącznik automatycznie dodaje https:// i /api/v1/audit. Następnie podaj klucz interfejsu API i kliknij pozycję Połącz.

  • Adres URL interfejsu API zero sieci: (portal.zeronetworks.com)
  • ApiKey: (ApiKey)
  • Włączanie/wyłączanie połączenia
  • Siatka łączników danych (konfigurowana w portalu)



ZeroFox CTI

Obsługiwane przez:ZeroFox

Łączniki danych cti ZeroFox zapewniają możliwość pozyskiwania różnych alertów analizy zagrożeń cybernetycznych ZeroFox do Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ZeroFox_CTI_advanced_dark_web_CL Nie Nie
ZeroFox_CTI_botnet_CL Nie Nie
ZeroFox_CTI_breaches_CL Nie Nie
ZeroFox_CTI_C2_CL Nie Nie
ZeroFox_CTI_compromised_credentials_CL Nie Nie
ZeroFox_CTI_credit_cards_CL Nie Nie
ZeroFox_CTI_dark_web_CL Nie Nie
ZeroFox_CTI_discord_CL Nie Nie
ZeroFox_CTI_disruption_CL Nie Nie
ZeroFox_CTI_email_addresses_CL Nie Nie
ZeroFox_CTI_exploits_CL Nie Nie
ZeroFox_CTI_irc_CL Nie Nie
ZeroFox_CTI_malware_CL Nie Nie
ZeroFox_CTI_national_ids_CL Nie Nie
ZeroFox_CTI_phishing_CL Nie Nie
ZeroFox_CTI_phone_numbers_CL Nie Nie
ZeroFox_CTI_ransomware_CL Nie Nie
ZeroFox_CTI_telegram_CL Nie Nie
ZeroFox_CTI_threat_actors_CL Nie Nie
ZeroFox_CTI_vulnerabilities_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • ZeroFox API Credentials/permissions: ZeroFox Username, ZeroFox Personal Access Token are required for ZeroFox CTI REST API (Poświadczenia/uprawnienia interfejsu API ZeroFox: ZeroFox Username, ZeroFox Personal Access Token are required for ZeroFox CTI REST API).

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API REST CTI ZeroFox w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Pobieranie poświadczeń ZeroFox:

Postępuj zgodnie z tymi instrukcjami, aby skonfigurować rejestrowanie i uzyskać poświadczenia.

  1. Zaloguj się do witryny internetowej Firmy ZeroFox. przy użyciu nazwy użytkownika i hasła 2 — kliknij przycisk Ustawienia i przejdź do sekcji Łączniki danych. 3 — Wybierz kartę API DATA FEEDS i przejdź do dolnej części strony, wybierz pozycję <<Resetuj>> w polu Informacje o interfejsie API, aby uzyskać osobisty token dostępu do użycia wraz z nazwą użytkownika.

KROK 2 . Wdrażanie łączników danych funkcji Azure przy użyciu szablonu Azure Resource Manager:

WAŻNE: Przed wdrożeniem łącznika danych cti zerofox, mają identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących), łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Przygotowywanie zasobów do wdrożenia.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów, obszar roboczy usługi Log Analytics i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika ZeroFox, osobisty token dostępu ZeroFox

  5. Kliknij pozycję Przejrzyj i utwórz , aby wdrożyć.



ZeroFox Enterprise — alerty (sondowanie plików CCF)

Obsługiwane przez:ZeroFox

Zbiera alerty z interfejsu API ZeroFox.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ZeroFoxAlertPoller_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Łączenie aplikacji ZeroFox z Microsoft Sentinel

Łączenie aplikacji ZeroFox z Microsoft Sentinel

  • Podaj swój pat ZeroFox: (Zerofox PAT)
  • Włączanie/wyłączanie połączenia



Zimperium Mobile Threat Defense

Obsługiwane przez:Zimperium

Łącznik Zimperium Mobile Threat Defense umożliwia łączenie dziennika zagrożeń Zimperium z Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia niestandardowych alertów i ulepszania badania. Dzięki temu możesz uzyskać lepszy wgląd w poziom zagrożeń mobilnych w organizacji i zwiększyć możliwości operacji zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ZimperiumThreatLog_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Instrukcje dotyczące konfiguracji:

Konfigurowanie i łączenie usługi Zimperium MTD

  1. W aplikacji zConsole kliknij pozycję Zarządzaj na pasku nawigacyjnym.
  2. Kliknij kartę Integracje .
  3. Kliknij przycisk Raportowanie zagrożeń, a następnie przycisk Dodaj integracje .
  4. Utwórz integrację:
  • Z poziomu dostępnych integracji wybierz pozycję Microsoft Microsoft Sentinel.
  • Wprowadź identyfikator obszaru roboczego i klucz podstawowy z poniższych pól, kliknij przycisk Dalej.
  • Podaj nazwę integracji Microsoft Sentinel.
  • Wybierz poziom filtru dla danych zagrożeń, które chcesz wypchnąć do Microsoft Sentinel.
  • Kliknij przycisk Zakończ
  1. Aby uzyskać dodatkowe instrukcje, zapoznaj się z portalem obsługi klienta Zimperium.
  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



Powiększenie raportów (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Zoom Reports umożliwia pozyskiwanie zdarzeń raportów powiększenia do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Zoom_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API zoomu w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Log Analytics/Microsoft Sentinel Logs, kliknij pozycję Funkcje i wyszukaj alias Zoom i załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po instalacji/aktualizacji rozwiązania.

KROK 1 — Kroki konfiguracji interfejsu API powiększenia

Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych Zoom Reports należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Inspekcja powiększenia przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź identyfikator AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, Nazwa funkcji i kliknij przycisk Przejrzyj i utwórz. 4. Na koniec kliknij pozycję Utwórz , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Raporty zoomu za pomocą Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. ZoomXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal w celu skonfigurowania aplikacji funkcji

Krok 2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): AccountID ClientID ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie) Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Łącznik raportów zoomu (za pośrednictwem platformy łączników bez kodu)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Zoom Reports umożliwia pozyskiwanie danych raportów zoomu do Microsoft Sentinel za pośrednictwem interfejsu API REST zoomu w wersji 2, co umożliwia monitorowanie i inspekcję użycia powiększenia w całej organizacji. Ten łącznik używa poświadczeń konta OAuth typu serwer-serwer na potrzeby uwierzytelniania i obsługuje pozyskiwanie wielu typów raportów, w tym raportów dziennego użycia na potrzeby statystyk spotkań i metryk użycia, raportów użytkowników dotyczących aktywnych/nieaktywnych informacji o hoście użytkownika, raportów telefonii na potrzeby statystyk użycia telefonii, raportów dotyczących rejestrowania i rejestrowania użycia w chmurze, dzienników operacji dla operacji administracyjnych i dzienników inspekcji, dzienniki aktywności dla działań związanych z logowaniem/wylogowywaniem użytkowników. Każdy typ raportu jest zbierany w oddzielnej konfiguracji sondowania z obsługą automatycznego dzielenia na strony przy użyciu funkcji NextPageToken. Łącznik danych jest oparty na Microsoft Sentinel Codeless Connector Framework i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR w celu zoptymalizowania wydajności zapytań.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
ZoomV2_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Dostęp do interfejsu API zoomu: dostęp do interfejsu API REST zoomu w wersji 2 przy użyciu poświadczeń konta

Instrukcje dotyczące konfiguracji:

1. Konfiguracja powiększenia

Konfigurowanie aplikacji OAuth typu serwer-serwer i zbieranie poświadczeń

Krok 1. Skonfiguruj aplikację OAuth zoom server-to-Server, postępuj zgodnie z instrukcjami: Tworzenie aplikacji. Pamiętaj o dodaniu zakresów powiązanych z raportami do aplikacji:

  • report:read:list_users:admin
  • report:read:cloud_recording:admin
  • report:read:daily_usage:admin
  • report:read:operation_logs:admin
  • report:read:telephone:admin
  • report:read:user_activities:admin

Aby uzyskać więcej informacji, zobacz Zoom Server-to-Server OAuth Documentation and Reports APIs (Dokumentacja protokołu OAuth i interfejsy API raportów) zoom server-to-Server.

Krok 2. Pobieranie poświadczeń aplikacji

Znajdź poświadczenia aplikacji (identyfikator konta, identyfikator klienta i klucz tajny klienta) na swojej Personal app management stronie w witrynie Zoom App Marketplace

Informacje o zabezpieczeniach

  • Bezpieczne przechowywanie identyfikatora konta, identyfikatora klienta i klucza tajnego klienta

  • Regularne obracanie poświadczeń w celu zwiększenia bezpieczeństwa

    • Identyfikator klienta: (identyfikator klienta aplikacji Zoom)
    • Klucz tajny klienta: (klucz tajny klienta aplikacji Zoom)
    • Identyfikator konta: (Identyfikator konta Zoom)
    • Podstawowy adres URL tokenu: (https://zoom.us/oauth/token)
    • Podstawowy adres URL interfejsu API: (https://api.zoom.us/v2)

2. Połącz

Włączanie łącznika Raporty powiększenia

Aktywowanie łącznika

Przejrzyj poświadczenia aplikacji Zoom znajdujące się w kroku 2, a następnie włącz łącznik, aby rozpocząć zbieranie danych raportów zoomu.

Monitorowania

Sprawdź przylot danych przy użyciu następujących zapytań:

Sprawdź wszystkie typy raportów:

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

Sprawdź określony typ raportu:

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

Monitorowanie kondycji łącznika:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc
  • Włączanie/wyłączanie połączenia



Przestarzałe łączniki danych Sentinel

Uwaga

W poniższej tabeli wymieniono przestarzałe i starsze łączniki danych. Przestarzałe łączniki nie są już obsługiwane.

[Przestarzałe] Dzienniki uwierzytelniania (przy użyciu funkcji Azure) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych Dzienniki uwierzytelniania (przy użyciu funkcji Azure) zapewnia możliwość pozyskiwania zdarzeń dziennika uwierzytelniania do Microsoft Sentinel

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Auth0AM_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: token interfejsu API jest wymagany. Aby uzyskać więcej informacji, zobacz Token interfejsu API

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsami API zarządzania Auth0 w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji interfejsu API zarządzania uwierzytelnianiem Auth0

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Na pulpicie nawigacyjnym usługi Auth0 przejdź do pozycji Aplikacje > aplikacji.
  2. Wybierz aplikację. Powinna to być aplikacja "Machine-to-Machine" skonfigurowana z uprawnieniami co najmniej read:logs i read:logs_users .
  3. Kopiowanie domeny, identyfikatora klienta, wpisu tajnego klienta

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych usługi Auth0 Access Management należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych usługi Auth0 Access Management przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź domenę, Identyfikator klienta, klucz tajny klienta, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych usługi Auth0 Access Management przy użyciu Azure Functions (Wdrażanie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. Auth0AMXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (uwzględniana wielkość liter): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



[Przestarzałe] Dziennik inspekcji przedsiębiorstwa w usłudze GitHub

Obsługiwane przez:Microsoft Corporation

Łącznik dziennika inspekcji usługi GitHub umożliwia pozyskiwanie dzienników usługi GitHub do Microsoft Sentinel. Łącząc dzienniki inspekcji usługi GitHub z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia alertów niestandardowych i ulepszać proces badania.

Uwaga: Jeśli zamierzasz pozyskiwać zdarzenia subskrybowane w usłudze GitHub do Microsoft Sentinel, zapoznaj się z tematem Łącznik usługi GitHub (przy użyciu elementów webhook) z galerii "Łączniki danych".

UWAGA: Ten łącznik danych został przestarzały. Rozważ przejście do łącznika danych CCF dostępnego w rozwiązaniu, które zastępuje pozyskiwanie za pośrednictwem przestarzałego interfejsu API modułu zbierającego dane HTTP.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
GitHubAuditLogPolling_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Osobisty token dostępu interfejsu API usługi GitHub: do włączenia sondowania dla dziennika inspekcji organizacji potrzebny jest osobisty token dostępu usługi GitHub. Możesz użyć tokenu klasycznego z zakresem "read:org" lub precyzyjnego tokenu z zakresem "Administracja: tylko do odczytu".
  • Typ usługi GitHub Enterprise: ten łącznik będzie działać tylko w usłudze GitHub Enterprise Cloud; nie będzie obsługiwać usługi GitHub Enterprise Server.

Instrukcje dotyczące konfiguracji:

Łączenie dziennika inspekcji na poziomie organizacji usługi GitHub Enterprise z Microsoft Sentinel

Włącz dzienniki inspekcji usługi GitHub. Postępuj zgodnie z tym przewodnikiem , aby utworzyć lub znaleźć osobisty token dostępu.



[Przestarzałe] Łącznik danych usługi Infoblox SOC Insight za pośrednictwem starszego agenta

Obsługiwane przez:Infoblox

Łącznik danych infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.

Ten łącznik danych pozyskuje dzienniki CDC usługi Infoblox SOC Insight w obszarze roboczym usługi Log Analytics przy użyciu starszego agenta usługi Log Analytics.

Firma Microsoft zaleca instalację łącznika danych infoblox SOC Insight za pośrednictwem łącznika AMA. Starszy łącznik używa agenta usługi Log Analytics, który ma zostać przestarzały do 31 sierpnia 2024 r. i powinien być zainstalowany tylko wtedy, gdy usługa AMA nie jest obsługiwana.

Korzystanie z mma i ama na tej samej maszynie może powodować duplikowanie dziennika i dodatkowy koszt pozyskiwania. Więcej szczegółów.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CommonSecurityLog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Instrukcje dotyczące konfiguracji:

Klucze obszaru roboczego

Aby korzystać z podręczników w ramach tego rozwiązania, znajdź swój identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego poniżej, aby ułatwić sobie pracę.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

Parsery

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami o nazwie InfobloxCDC_SOCInsights wdrożonej za pomocą rozwiązania Microsoft Sentinel.

SOC Insights

Ten łącznik danych zakłada, że masz dostęp do usługi Infoblox BloxOne Threat Defense SOC Insights. Więcej informacji na temat usługi SOC Insights można znaleźć tutaj.

Łącznik danych w chmurze infoblox

Ten łącznik danych zakłada, że host łącznika danych Infoblox został już utworzony i skonfigurowany w portalu infoblox Cloud Services (CSP). Ponieważ łącznik danych Infoblox jest funkcją usługi BloxOne Threat Defense, wymagany jest dostęp do odpowiedniej subskrypcji usługi BloxOne Threat Defense. Aby uzyskać więcej informacji i wymagania dotyczące licencjonowania, zobacz ten przewodnik szybkiego startu .

1. konfiguracja agenta Linux Syslog

Zainstaluj i skonfiguruj agenta Linux, aby zbierał komunikaty dziennika Syslog w formacie Common Event Format (CEF) i przekazywał je do Microsoft Sentinel.

Zwróć uwagę, że dane ze wszystkich regionów będą przechowywane w wybranym obszarze roboczym

1.1 Wybieranie lub tworzenie maszyny Linux

Wybierz lub utwórz maszynę Linux, która Microsoft Sentinel będzie używana jako serwer proxy między rozwiązaniem zabezpieczeń i Microsoft Sentinel ta maszyna może znajdować się w środowisku lokalnym, Azure lub innych chmurach.

1.2 Instalowanie modułu zbierającego CEF na maszynie Linux

Zainstaluj agenta monitorowania firmy Microsoft na maszynie Linux i skonfiguruj maszynę do nasłuchiwania na niezbędnym porcie i przekazywania komunikatów do obszaru roboczego Microsoft Sentinel. Moduł zbierający CEF zbiera komunikaty CEF na porcie 514 TCP.

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version.

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na maszynie.

  • Uruchom następujące polecenie, aby zainstalować i zastosować moduł zbierający CEF:: <wartość zmiennej podana w czasie instalacji>

2. W portalu infoblox Cloud Services skonfiguruj usługę Infoblox BloxOne w celu wysyłania danych dziennika systemu CEF do łącznika danych w chmurze infoblox w celu przekazywania dalej do agenta Syslog

Wykonaj poniższe kroki, aby skonfigurować narzędzie Infoblox CDC do wysyłania danych bloxOne do Microsoft Sentinel za pośrednictwem agenta Linux Syslog.

  1. Przejdź do obszaru Zarządzanie łącznikami > danych.
  2. Kliknij kartę Konfiguracja docelowa u góry.
  3. Kliknij pozycję Utwórz > dziennik systemowy.
  • Nazwa: nadaj nowemu obiektowi docelowemu znaczącą nazwę, taką jak Microsoft-Sentinel-Destination.
  • Opis: opcjonalnie nadaj mu zrozumiały opis.
  • Stan: ustaw stan na Włączone.
  • Format: ustaw format na CEF.
  • Nazwa FQDN/IP: wprowadź adres IP urządzenia Linux, na którym zainstalowano agenta Linux.
  • Port: pozostaw numer portu na 514.
  • Protokół: wybierz żądany protokół i certyfikat urzędu certyfikacji, jeśli ma to zastosowanie.
  • Kliknij pozycję Zapisz & Zamknij.
  1. Kliknij kartę Konfiguracja przepływu ruchu u góry.
  2. Kliknij pozycję Utwórz.
  • Nazwa: nadaj nowej usłudze Traffic Flow znaczącą nazwę, taką jak Microsoft-Sentinel-Flow.
  • Opis: opcjonalnie nadaj mu zrozumiały opis.
  • Stan: ustaw stan na Włączone.
  • Rozwiń sekcję Wystąpienie usługi .
  • Wystąpienie usługi: wybierz żądane wystąpienie usługi, dla którego jest włączona usługa łącznika danych.
  • Rozwiń sekcję Konfiguracja źródła .
  • Źródło: wybierz pozycję BloxOne Cloud Source.
  • Wybierz typ dziennika powiadomień wewnętrznych .
  • Rozwiń sekcję Konfiguracja docelowa .
  • Wybierz właśnie utworzoną lokalizację docelową .
  • Kliknij pozycję Zapisz & Zamknij.
  1. Zezwalaj na aktywację konfiguracji.

3. Weryfikowanie połączenia

Postępuj zgodnie z instrukcjami, aby zweryfikować łączność:

Otwórz usługę Log Analytics, aby sprawdzić, czy dzienniki są odbierane przy użyciu schematu CommonSecurityLog.

Może upłynąć około 20 minut, zanim połączenie prześli dane do obszaru roboczego.

Jeśli dzienniki nie zostaną odebrane, uruchom następujący skrypt weryfikacji łączności:

  1. Upewnij się, że na maszynie masz język Python przy użyciu następującego polecenia: python -version

  2. Musisz mieć uprawnienia z podwyższonym poziomem uprawnień (sudo) na komputerze

  • Uruchom następujące polecenie, aby zweryfikować łączność:: <wartość zmiennej podana w czasie instalacji>

**4. Zabezpieczanie maszyny **

Upewnij się, że skonfigurowano zabezpieczenia maszyny zgodnie z zasadami zabezpieczeń organizacji

Dowiedz się więcej >



[Przestarzałe] Dzienniki zabezpieczeń IONIX (wypychanie)

Obsługiwane przez:IONIX

⚠️ Ten łącznik jest przestarzały i zostanie usunięty w czerwcu 2026 r. Zamiast tego użyj nowego łącznika "IONIX Security Logs (via Codeless Connector Framework)", który zapewnia automatyczne codzienne sondowanie bez konieczności ręcznej konfiguracji w portalu IONIX.

Łącznik danych dzienników zabezpieczeń IONIX pozyskuje dzienniki z systemu IONIX bezpośrednio do Sentinel. Łącznik umożliwia użytkownikom wizualizowanie danych, tworzenie alertów i zdarzeń oraz ulepszanie badań zabezpieczeń.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CyberpionActionItems_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

Instrukcje dotyczące konfiguracji:

Postępuj zgodnie z instrukcjami, aby zintegrować alerty zabezpieczeń IONIX z Sentinel.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>



[Przestarzałe] Powyższy lookout

Obsługiwane przez:Lookout

Łącznik danych usługi Lookout umożliwia pozyskiwanie zdarzeń usługi Lookout do Microsoft Sentinel za pośrednictwem interfejsu API ryzyka dla urządzeń przenośnych. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik danych usługi Lookout zapewnia możliwość pobierania zdarzeń, które ułatwiają badanie potencjalnych zagrożeń bezpieczeństwa i nie tylko.

UWAGA: Ten łącznik danych został przestarzały. Rozważ przejście do łącznika danych CCF dostępnego w rozwiązaniu, które zastępuje pozyskiwanie za pośrednictwem przestarzałego interfejsu API modułu zbierającego dane HTTP.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Lookout_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API ryzyka dla urządzeń przenośnych: EnterpriseName & ApiKey są wymagane dla interfejsu API ryzyka dla urządzeń przenośnych. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik danych usługi Lookout używa Azure Functions do nawiązywania połączenia z interfejsem API ryzyka dla urządzeń przenośnych w celu ściągnięcia zdarzeń do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami funkcji LookoutEvents wdrożonej za pomocą rozwiązania Microsoft Sentinel.

KROK 1 — Kroki konfiguracji interfejsu API ryzyka dla urządzeń przenośnych

Postępuj zgodnie z instrukcjami , aby uzyskać poświadczenia.

KROK 2 . Postępuj zgodnie z poniższymi instrukcjami, aby wdrożyć łącznik danych usługi Lookout i skojarzoną funkcję Azure

WAŻNE: Przed rozpoczęciem wdrażania łącznika danych usługi Lookout upewnij się, że identyfikator obszaru roboczego i klucz obszaru roboczego są gotowe (można je skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz obszaru roboczego: <wartość zmiennej podana w czasie instalacji>

szablon Azure Resource Manager (ARM)

Wykonaj poniższe kroki, aby zautomatyzować wdrażanie łącznika danych usługi Lookout przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i region.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź nazwę funkcji, identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę przedsiębiorstwa & klucz interfejsu API i wdróż. 4. Kliknij pozycję Utwórz , aby wdrożyć.



[Przestarzałe] Dzienniki i zdarzenia programu Microsoft Exchange

Obsługiwane przez:Community

Przestarzałe, użyj połączeń danych "ESI-Opt". Wszystkie zdarzenia inspekcji programu Exchange, dzienniki usług IIS, dzienniki serwera proxy HTTP i dzienniki zdarzeń zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Jest to używane przez skoroszyty zabezpieczeń programu Microsoft Exchange w celu zapewnienia szczegółowych informacji o zabezpieczeniach środowiska lokalnego programu Exchange

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Event Tak Nie
SecurityEvent Tak Tak
W3CIISLog Tak Nie
MessageTrackingLog_CL Tak Tak
ExchangeHttpProxy_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
  • Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj

Instrukcje dotyczące konfiguracji:

UWAGA: To rozwiązanie jest oparte na opcjach. Dzięki temu można wybrać, które dane będą pozyskiwane, ponieważ niektóre opcje mogą generować bardzo dużą ilość danych. W zależności od tego, co chcesz zebrać, śledź w skoroszytach, regułach analizy i możliwościach wyszukiwania zagrożeń, które wybierzesz opcje, które wdrożysz. Każda opcja jest niezależna od drugiej. Aby dowiedzieć się więcej o każdej opcji: witryna typu wiki "Microsoft Exchange Security"

1. Pobierz i zainstaluj agentów potrzebnych do zbierania dzienników dla Microsoft Sentinel

Typ serwerów (serwery exchange, kontrolery domeny połączone z serwerami exchange lub wszystkimi kontrolerami domeny) zależy od opcji, którą chcesz wdrożyć.

Wdrażanie agentów monitora

Ten krok jest wymagany tylko wtedy, gdy po raz pierwszy dołączasz serwery exchange/kontrolery domeny

Wybierz agenta, który chcesz zainstalować na serwerach, aby zbierać dzienniki:

[Preferowane] Azure monitoruj agenta za pośrednictwem usługi Azure Arc

Dowiedz się więcej o wdrażaniu agenta usługi Azure Arc

Instalowanie Azure agenta usługi Log Analytics (przestarzałe w dniu 31.08.2024 r.)

  1. Pobierz Azure agenta usługi Log Analytics i wybierz metodę wdrażania w poniższym linku.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

2. Wdróż injestion dziennika po wybraniu opcji

[Opcja 1] Zbieranie dzienników zarządzania programem MS Exchange

Wybieranie sposobu przesyłania strumieniowego dzienników zdarzeń usługi MS Exchange Administracja Audit

Dzienniki zdarzeń inspekcji programu MS Exchange Administracja

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz regułę zbierania danych Microsoft Exchange Administracja dzienniki zdarzeń inspekcji są zbierane tylko od agentów systemu Windows.

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania dcr.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź nazwę obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie dcr, typ dziennika zdarzeń

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola, Wybierz system Windows jako typ platformy i nadaj nazwę dcr.
  4. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  5. W obszarze "Zbieraj i dostarczaj" dodaj typ źródła danych "Dzienniki zdarzeń systemu Windows" i wybierz opcję "Niestandardowe", wprowadź wyrażenie "ZARZĄDZANIE MSExchange" i Dodaj.
  6. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY

Reguły zbierania danych — gdy używany jest starszy Azure agent usługi Log Analytics

Konfigurowanie dzienników do zbierania

Skonfiguruj zdarzenia, które chcesz zebrać, oraz ich ważność.

  1. W obszarze Zarządzanie starszymi agentami obszaru roboczego wybierz pozycję Dzienniki zdarzeń systemu Windows.
  2. Kliknij pozycję Dodaj dziennik zdarzeń systemu Windows i wprowadź nazwę dziennika MSExchange Management .
  3. Zbieranie typów błędów, ostrzeżeń i informacji
  4. Kliknij Zapisz.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

[Opcja 2] Dzienniki zabezpieczeń/aplikacji/systemu serwerów exchange

Wybieranie sposobu przesyłania strumieniowego dzienników zabezpieczeń/aplikacji/systemu serwerów exchange

Zbieranie dzienników zdarzeń zabezpieczeń

Reguły zbierania danych — dzienniki zdarzeń zabezpieczeń

Włącz regułę zbierania danych dla dzienników zabezpieczeń Dzienniki zabezpieczeń Dzienniki zdarzeń zabezpieczeń są zbierane tylko z agentów systemu Windows .

  1. Dodaj serwery exchange na karcie Zasoby .
  2. Wybierz poziom dziennika zabezpieczeń

Typowy poziom to wymagane minimum. Wybierz pozycję "Typowe" lub "Wszystkie zdarzenia zabezpieczeń" w definicji dcr.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

Zbieranie dzienników zdarzeń aplikacji i systemu

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz regułę zbierania danych Dzienniki aplikacji i zdarzeń systemowych są zbierane tylko z agentów systemu Windows .

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania dcr.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź nazwę obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie dcr, typ dziennika zdarzeń

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola, Wybierz system Windows jako typ platformy i nadaj nazwę dcr.
  4. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  5. W obszarze "Zbieraj i dostarczaj" dodaj typ źródła danych "Dzienniki zdarzeń systemu Windows" i wybierz opcję "Podstawowe".
  6. W obszarze Aplikacja wybierz pozycje "Krytyczne", "Błąd" i "Ostrzeżenie". W obszarze System wybierz pozycję Krytyczne/Błąd/Ostrzeżenie/Informacje.
  7. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY

Reguły zbierania danych — gdy używany jest starszy Azure agent usługi Log Analytics

Konfigurowanie dzienników do zbierania

Skonfiguruj zdarzenia, które chcesz zebrać, oraz ich ważność.

  1. W obszarze Ustawienia zaawansowane obszaru roboczego Konfiguracja wybierz pozycję Dane, a następnie pozycję Dzienniki zdarzeń systemu Windows.
  2. Kliknij pozycję Dodaj dziennik zdarzeń systemu Windows i wyszukaj pozycję Aplikacja jako nazwę dziennika.
  3. Kliknij pozycję Dodaj dziennik zdarzeń systemu Windows i wyszukaj pozycję System jako nazwę dziennika.
  4. Zbieranie błędów (dla wszystkich), ostrzeżenia (dla wszystkich) i typów informacji (dla systemu)
  5. Kliknij Zapisz.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

[Opcja 3 i 4] Dzienniki zabezpieczeń kontrolerów domeny

Wybierz sposób przesyłania strumieniowego dzienników zabezpieczeń kontrolerów domeny. Jeśli chcesz zaimplementować opcję 3, wystarczy wybrać kontroler domeny w tej samej lokacji co serwery exchange. Jeśli chcesz zaimplementować opcję 4, możesz wybrać wszystkie kontrolery domeny lasu.

[Opcja 3] Wyświetl listę tylko kontrolerów domeny w tej samej lokacji co serwery exchange do następnego kroku

Ogranicza to ilość pozyskanych danych, ale nie można wykryć niektórych zdarzeń.

[Opcja 4] Wyświetl listę wszystkich kontrolerów domeny lasu Active-Directory do następnego kroku

Umożliwia to zbieranie wszystkich zdarzeń zabezpieczeń

Zbieranie dzienników zdarzeń zabezpieczeń

Reguły zbierania danych — dzienniki zdarzeń zabezpieczeń

Włącz regułę zbierania danych dla dzienników zabezpieczeń Dzienniki zabezpieczeń Dzienniki zdarzeń zabezpieczeń są zbierane tylko z agentów systemu Windows .

  1. Dodaj wybrane kontrolery domeny na karcie Zasoby .
  2. Wybierz poziom dziennika zabezpieczeń

Typowy poziom to wymagane minimum. Wybierz pozycję "Typowe" lub "Wszystkie zdarzenia zabezpieczeń" w definicji dcr.

  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

[Opcja 5] Dzienniki usług IIS serwerów exchange

Wybieranie sposobu przesyłania strumieniowego dzienników usług IIS serwerów Programu Exchange

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz dzienniki usług IIS reguły zbierania danych są zbierane tylko z agentów systemu Windows .

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania DCE i DCR.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Możesz zmienić proponowaną nazwę DCE.

  4. Kliknij pozycję Utwórz , aby wdrożyć.

B. Wdrażanie reguły połączenia danych

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. W portalu Azure przejdź do punktu końcowego zbierania danych Azure.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę DCE.
  4. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Tworzenie środowiska DCR, typ dziennika usług IIS

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola, Wybierz system Windows jako typ platformy i nadaj nazwę dcr. Wybierz utworzony serwer DCE.
  4. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  5. W obszarze "Zbieranie i dostarczanie" dodaj typ źródła danych "Dzienniki usług IIS" (Nie wprowadzaj ścieżki, jeśli ścieżka dzienników usług IIS jest domyślnie skonfigurowana). Kliknij pozycję "Dodaj źródło danych"
  6. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY

Reguły zbierania danych — gdy używany jest starszy Azure agent usługi Log Analytics

Konfigurowanie dzienników do zbierania

Skonfiguruj zdarzenia, które chcesz zebrać, oraz ich ważność.

  1. W obszarze Ustawienia zaawansowane obszaru roboczego Konfiguracja wybierz pozycję Dane, a następnie pozycję Dzienniki usług IIS.
  2. Sprawdzanie funkcji Collect W3C format IIS log files (Zbieranie plików dziennika usług IIS w formacie W3C)
  3. Kliknij Zapisz.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

[Opcja 6] Śledzenie komunikatów serwerów exchange

Wybieranie sposobu przesyłania strumieniowego śledzenia komunikatów serwerów Exchange

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz śledzenie komunikatów reguły zbierania danych są zbierane tylko z agentów systemu Windows .

Uwaga: Uwaga, dzienniki niestandardowe w programie Monitor Agent są w wersji zapoznawczej. Wdrożenie na razie nie działa zgodnie z oczekiwaniami (marzec 2023 r.).

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania DCE i DCR.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Możesz zmienić proponowaną nazwę DCE.

  4. Kliknij pozycję Utwórz , aby wdrożyć.

B. Wdrażanie reguły połączenia danych i tabeli niestandardowej

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. W portalu Azure przejdź do punktu końcowego zbierania danych Azure.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę DCE, na przykład ESI-ExchangeServers.
  4. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Tworzenie niestandardowej tabeli DCR

  1. Pobierz plik Przykład z usługi Microsoft Sentinel GitHub.

  2. W portalu Azure przejdź do obszaru roboczego Analiza i wybierz docelowy obszar roboczy.

  3. Kliknij pozycję "Tabele", kliknij pozycję + Utwórz u góry i wybierz pozycję Nowy dziennik niestandardowy (oparty na dcr)..

  4. Na karcie Podstawy wprowadź ciąg MessageTrackingLog w nazwie tabeli, utwórz regułę zbierania danych o nazwie DCR-Option6-MessageTrackingLogs (na przykład) i wybierz wcześniej utworzony punkt końcowy zbierania danych.

  5. Na karcie Schemat i przekształcenie wybierz pobrany przykładowy plik i kliknij pozycję Edytor przekształceń.

  6. W polu przekształcenia wprowadź następujące żądanie KQL: źródło | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['adres-odbiorcy'], recipientCount= ['recipient-count'], recipientStatus= ['adres-adres_adres'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

  7. Kliknij pozycję "Uruchom", a następnie pozycję "Zastosuj".

  8. Kliknij przycisk Dalej, a następnie kliknij pozycję Utwórz.

C. Zmodyfikuj utworzony dcr, wpisz dziennik niestandardowy

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Wybierz wcześniej utworzony kontroler DCR, na przykład DCR-Option6-MessageTrackingLogs.
  3. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  4. W obszarze Źródła danych dodaj typ źródła danych "Niestandardowe dzienniki tekstowe" i wprowadź ciąg "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" we wzorcu pliku "MessageTrackingLog_CL" w polu Nazwa tabeli. 6.in Pole przekształcenia wprowadź następujące żądanie KQL: źródło | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['adres-odbiorcy'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
  5. Kliknij pozycję "Dodaj źródło danych".

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY

Reguły zbierania danych — gdy używany jest starszy Azure agent usługi Log Analytics

Konfigurowanie dzienników do zbierania

  1. W obszarze Ustawienia obszaru roboczego wybierz pozycję Tabele, kliknij pozycję + Utwórz i kliknij pozycję Nowy dziennik niestandardowy (oparty na programie MMA).
  2. Wybierz przykładowy plik MessageTracking Sample i kliknij przycisk Dalej
  3. Wybierz typ Windows i wprowadź ścieżkę C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log. Kliknij przycisk Dalej.
  4. Wprowadź ciąg MessageTrackingLog jako nazwę tabeli, a następnie kliknij przycisk Dalej.
  5. Kliknij Zapisz.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

[Opcja 7] Serwer proxy HTTP serwerów Exchange

Wybieranie sposobu przesyłania strumieniowego serwera proxy HTTP serwerów exchange

Reguły zbierania danych — gdy jest używany agent Azure Monitor

Włącz śledzenie komunikatów reguły zbierania danych są zbierane tylko z agentów systemu Windows .

Uwaga: Uwaga, dzienniki niestandardowe w programie Monitor Agent są w wersji zapoznawczej. Wdrożenie na razie nie działa zgodnie z oczekiwaniami (marzec 2023 r.).

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania DCE i DCR.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Możesz zmienić proponowaną nazwę DCE.

  4. Kliknij pozycję Utwórz , aby wdrożyć.

B. Wdrażanie reguły połączenia danych

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego "i/lub inne wymagane pola".

  4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Automation

Użyj poniższych instrukcji krok po kroku, aby ręcznie wdrożyć regułę zbierania danych.

Odp. Tworzenie środowiska DCE (jeśli nie zostało jeszcze utworzone dla serwerów programu Exchange)

  1. W portalu Azure przejdź do punktu końcowego zbierania danych Azure.
  2. Kliknij pozycję + Utwórz u góry.
  3. Na karcie Podstawy wypełnij wymagane pola i nadaj nazwę DCE.
  4. "W razie potrzeby wprowadź inne preferowane zmiany konfiguracji", a następnie kliknij pozycję Utwórz.

B. Tworzenie niestandardowej tabeli DCR

  1. Pobierz plik Przykład z usługi Microsoft Sentinel GitHub.
  2. W portalu Azure przejdź do obszaru roboczego Analiza i wybierz docelowy obszar roboczy.
  3. Kliknij pozycję "Tabele", kliknij pozycję + Utwórz u góry i wybierz pozycję Nowy dziennik niestandardowy (oparty na dcr)..
  4. Na karcie Podstawy wprowadź ciąg ExchangeHttpProxy w polu Nazwa tabeli, utwórz regułę zbierania danych o nazwie DCR-Option7-HTTPProxyLogs (na przykład) i wybierz wcześniej utworzony punkt końcowy zbierania danych.
  5. Na karcie Schemat i przekształcenie wybierz pobrany przykładowy plik i kliknij pozycję Edytor przekształceń.
  6. W polu przekształcenia wprowadź następujące żądanie KQL: *source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
  1. Kliknij pozycję "Uruchom", a następnie pozycję "Zastosuj".
  2. Kliknij przycisk Dalej, a następnie kliknij pozycję Utwórz.

C. Zmodyfikuj utworzony dcr, wpisz dziennik niestandardowy

  1. W portalu Azure przejdź do pozycji Azure Reguły zbierania danych.
  2. Wybierz wcześniej utworzony kontroler DCR, na przykład DCR-Option7-HTTPProxyLogs.
  3. Na karcie Zasoby wprowadź pozycję Serwery programu Exchange.
  4. W obszarze Źródła danych dodaj typ źródła danych "Niestandardowe dzienniki tekstowe" i wprowadź ciąg "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log" we wzorcu pliku "ExchangeHttpProxy_CL" w polu Nazwa tabeli. 6.in Pole przekształcenia wprowadź następujące żądanie KQL: źródło | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
  5. Kliknij pozycję "Dodaj źródło danych".

Przypisywanie funkcji DCR do wszystkich serwerów Exchange

Dodawanie wszystkich serwerów Exchange do kontrolera DOMENY

Reguły zbierania danych — gdy używany jest starszy Azure agent usługi Log Analytics

Konfigurowanie dzienników do zbierania

  1. W obszarze Ustawienia obszaru roboczego wybierz pozycję Tabele, kliknij pozycję + Utwórz i kliknij pozycję Nowy dziennik niestandardowy (oparty na programie MMA).
  2. Wybierz przykładowy plik MessageTracking Sample i kliknij przycisk Dalej
  3. Wybierz typ Windows i wprowadź wszystkie następujące ścieżki C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log i C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . Kliknij przycisk Dalej.
  4. Wprowadź ciąg ExchangeHttpProxy jako nazwę tabeli, a następnie kliknij przycisk Dalej.
  5. Kliknij Zapisz.
  • Instalowanie agenta: <wartość zmiennej podana w czasie instalacji>

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami. Analizatory są automatycznie wdrażane za pomocą rozwiązania. Wykonaj kroki, aby utworzyć alias usługi Kusto Functions: ExchangeAdminAuditLogs

Analizatory są wdrażane automatycznie podczas wdrażania rozwiązania. Jeśli chcesz wdrożyć ręcznie, wykonaj poniższe kroki

Ręczne wdrażanie analizatora

1. Pobierz plik analizatora

Najnowsza wersja pliku ExchangeAdminAuditLogs

2. Tworzenie funkcji Parser ExchangeAdminAuditLogs

W eksploratorze dzienników analizy dzienników Microsoft Sentinel skopiuj zawartość pliku do Eksploratora dzienników

3. Zapisz funkcję Parser ExchangeAdminAuditLogs

Kliknij przycisk Zapisz. Dla tego analizatora nie jest wymagany żaden parametr. Kliknij ponownie pozycję Zapisz.



[Przestarzałe] Okta Single Sign-On (przy użyciu funkcji Azure) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik Jednokrotnego Sign-On (SSO) (przy użyciu funkcji Azure) zapewnia możliwość pozyskiwania dzienników inspekcji i zdarzeń z interfejsu API okta do Microsoft Sentinel. Łącznik zapewnia wgląd w te typy dzienników w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe oraz ulepszać możliwości monitorowania i badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Okta_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Token interfejsu API okta: wymagany jest token interfejsu API okta. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API dziennika systemu Okta.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z logowaniem jednokrotnego okta w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

UWAGA: Ten łącznik został zaktualizowany, jeśli wcześniej wdrożono starszą wersję i chcesz go zaktualizować, usuń istniejącą funkcję Azure Okta przed ponownym wdrożeniem tej wersji.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 . Kroki konfiguracji interfejsu API logowania jednokrotnego okta

Postępuj zgodnie z tymi instrukcjami, aby utworzyć token interfejsu API.

Uwaga — aby uzyskać więcej informacji na temat ograniczeń limitu szybkości wymuszanych przez usługę Okta, zapoznaj się z dokumentacją.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika logowania jednokrotnego okta należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także łatwo dostępny token autoryzacji interfejsu API logowania jednokrotnego okta.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda umożliwia zautomatyzowane wdrożenie łącznika logowania jednokrotnego okta przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, token interfejsu API i identyfikator URI.

  • Użyj następującego schematu dla wartości: https://<OktaDomain>/api/v1/logs?since= Zastąp uri<OktaDomain> ciąg domeną. Kliknij tutaj, aby uzyskać więcej informacji na temat identyfikowania przestrzeni nazw domeny Okta. Nie ma potrzeby dodawania wartości czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza początkowy czas rozpoczęcia dzienników do wartości UTC 0:00 dla bieżącej daty UTC jako wartości godziny do identyfikatora URI w odpowiednim formacie.
  • Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik logowania jednokrotnego okta z Azure Functions (wdrażanie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  3. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących pięciu (5) ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (wielkość liter): apiToken workspaceID workspaceKey uri logAnalyticsUri (opcjonalnie)
  • Użyj następującego schematu dla wartości: https://<OktaDomain>/api/v1/logs?since= Zastąp uri<OktaDomain> ciąg domeną. Kliknij tutaj, aby uzyskać więcej informacji na temat identyfikowania przestrzeni nazw domeny Okta. Nie ma potrzeby dodawania wartości czasu do identyfikatora URI. Aplikacja funkcji dynamicznie dołącza początkowy czas rozpoczęcia dzienników do wartości UTC 0:00 dla bieżącej daty UTC jako wartości godziny do identyfikatora URI w odpowiednim formacie.
  • Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://< CustomerId.ods.opinsights.azure.us>.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



[Przestarzałe] SentinelOne (przy użyciu funkcji Azure) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych SentinelOne umożliwia pozyskiwanie typowych obiektów serwera SentinelOne, takich jak zagrożenia, agenci, aplikacje, działania, zasady, grupy i inne zdarzenia w Microsoft Sentinel za pośrednictwem interfejsu API REST. Zapoznaj się z dokumentacją interfejsu API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview aby uzyskać więcej informacji. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SentinelOne_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: Wymagana jest funkcja SentinelOneAPIToken . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsem API sentinelOne w celu ściągnięcia dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która będzie działać zgodnie z oczekiwaniami, która jest wdrażana jako część rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Log Analytics/Microsoft Sentinel Logs, kliknij pozycję Funkcje i wyszukaj alias SentinelOne, załaduj kod funkcji lub kliknij tutaj. Aktywacja funkcji zwykle trwa od 10 do 15 minut po instalacji/aktualizacji rozwiązania.

KROK 1 — Kroki konfiguracji interfejsu API usługi SentinelOne

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. Zaloguj się do konsoli zarządzania SentinelOne przy użyciu Administracja poświadczeń użytkownika.
  2. W konsoli zarządzania kliknij pozycję Ustawienia.
  3. W widoku USTAWIENIA kliknij pozycję UŻYTKOWNICY
  4. Kliknij pozycję Nowy użytkownik.
  5. Wprowadź informacje dla nowego użytkownika konsoli.
  6. W obszarze Rola wybierz pozycję Administracja.
  7. Kliknij przycisk ZAPISZ
  8. Zapisz poświadczenia nowego użytkownika do użycia w łączniku danych.

UWAGA: — dostęp Administracja można delegować przy użyciu ról niestandardowych. Zapoznaj się z dokumentacją usługi SentinelOne, aby dowiedzieć się więcej o niestandardowej kontroli dostępu opartej na rolach.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych SentinelOne należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Inspekcja usługi SentinelOne przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź ciąg SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) i wdróż. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Raporty usługi SentinelOne za pomocą Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz przycisk Wdróż w aplikacji funkcji. Jeśli jeszcze się nie zalogowano, wybierz ikonę Azure na pasku działania, a następnie w obszarze Azure: Funkcje wybierz pozycję Zaloguj się, aby Azure Jeśli już się zalogowano, przejdź do następnego kroku.

  5. Podaj następujące informacje w wierszu polecenia:

    a. Wybierz folder: Wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: Wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji w Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: Wpisz nazwę, która jest prawidłowa w ścieżce adresu URL. Wpisana nazwa jest weryfikowana w celu upewnienia się, że jest unikatowa w Azure Functions. (np. SOneXXXXX).

    e. Wybierz środowisko uruchomieniowe: Wybierz pozycję Python 3.11.

    f. Wybierz lokalizację dla nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region, w którym znajduje się Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.

  8. Konfigurowanie aplikacji funkcji

  9. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  10. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.

  11. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



[Przestarzałe] Sophos Endpoint Protection (przy użyciu funkcji Azure) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft Corporation

Łącznik danych sophos Endpoint Protection zapewnia możliwość pozyskiwania zdarzeń Sophos do Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Sophos Central Administracja.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SophosEP_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: token interfejsu API jest wymagany. Aby uzyskać więcej informacji, zobacz Token interfejsu API

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions do nawiązywania połączenia z interfejsami API sophos Central w celu ściągania dzienników do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

UWAGA: Ten łącznik danych zależy od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami sophosEPEvent, która jest wdrażana za pomocą rozwiązania Microsoft Sentinel.

KROK 1 . Kroki konfiguracji interfejsu API sophos Central

Postępuj zgodnie z instrukcjami, aby uzyskać poświadczenia.

  1. W usłudze Sophos Central Administracja przejdź do pozycji Zarządzanie tokenami interfejsu API ustawień > globalnych.
  2. Aby utworzyć nowy token, kliknij pozycję Dodaj token w prawym górnym rogu ekranu.
  3. Wybierz nazwę tokenu i kliknij przycisk Zapisz. Zostanie wyświetlone podsumowanie tokenu interfejsu API dla tego tokenu.
  4. Kliknij pozycję Kopiuj, aby skopiować adres URL i nagłówki dostępu interfejsu API z sekcji Podsumowanie tokenu interfejsu API do schowka.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika danych programu Sophos Endpoint Protection należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych sophos Endpoint Protection przy użyciu tempate usługi ARM.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

UWAGA: W tej samej grupie zasobów nie można mieszać aplikacji systemu Windows i Linux w tym samym regionie. Wybierz istniejącą grupę zasobów bez aplikacji systemu Windows lub utwórz nową grupę zasobów. 3. Wprowadź adres URL i nagłówki dostępu interfejsu API Sophos, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia. 5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych programu Sophos Endpoint Protection przy użyciu Azure Functions (wdrożenie za pośrednictwem Visual Studio Code).

Krok 1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować kod programu VS do tworzenia Azure funkcji.

  1. Pobierz plik aplikacji funkcji Azure. Wyodrębnij archiwum do lokalnego komputera deweloperskiego.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj kolejne kroki, aby ją skonfigurować.

Krok 2. Konfigurowanie aplikacji funkcji

  1. Przejdź do Azure Portal, aby uzyskać konfigurację aplikacji funkcji.
  2. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  3. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
  4. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter): SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



[Przestarzałe] VMware Carbon Black Cloud (przy użyciu funkcji Azure) (przy użyciu Azure Functions)

Obsługiwane przez:Microsoft

Łącznik VMware Carbon Black Cloud zapewnia możliwość pozyskiwania danych Carbon Black do Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki inspekcji, powiadomień i zdarzeń w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć niestandardowe alerty oraz ulepszać możliwości monitorowania i badania.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
CarbonBlackEvents_CL Nie Nie
CarbonBlackNotifications_CL Nie Nie
CarbonBlackAuditLogs_CL Nie Nie

Obsługa reguł zbierania danych: Obecnie nieobsługiwane

Wymagania wstępne:

  • Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
  • Klucze interfejsu API VMware Carbon Black: wymagany jest interfejs API carbon i/lub klucze interfejsu API na poziomie SIEM. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API Carbon Black.
  • W dziennikach inspekcji i zdarzeń wymagany jest identyfikator i klucz interfejsu API na poziomie czarnego interfejsu API Carbon.
  • W przypadku alertów powiadomień wymagany jest identyfikator interfejsu API i klucz na poziomie dostępu Carbon Black SIEM.
  • Poświadczenia/uprawnienia interfejsu API REST platformy Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika AWS S3, nazwa folderu w zasobniku AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.

Instrukcje dotyczące konfiguracji:

UWAGA: Ten łącznik używa Azure Functions, aby połączyć się z programem VMware Carbon Black, aby ściągnąć swoje dzienniki do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, sprawdź stronę cennika Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy lub tokenów autoryzacji interfejsu API i obszaru roboczego w Azure Key Vault. Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać Azure Key Vault z aplikacją funkcji Azure.

KROK 1 — Kroki konfiguracji interfejsu API VMware Carbon Black

Postępuj zgodnie z tymi instrukcjami , aby utworzyć klucz interfejsu API.

KROK 2 — Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję Azure

WAŻNE: Przed wdrożeniem łącznika VMware Carbon Black należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów), a także klucze autoryzacji interfejsu API VMware Carbon Black, które są łatwo dostępne.

  • Identyfikator obszaru roboczego: <wartość zmiennej podana w czasie instalacji>
  • Klucz podstawowy: <wartość zmiennej podana w czasie instalacji>

Opcja 1 — szablon Azure Resource Manager (ARM)

Ta metoda umożliwia zautomatyzowane wdrożenie łącznika VMware Carbon Black przy użyciu tempate arm.

  1. Kliknij przycisk Wdróż, aby Azure poniżej.

    aka.msaka.ms

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, typy dzienników, identyfikatory interfejsu API, klucze interfejsu API, klucze organizacji Carbon Black, nazwę zasobnika S3, identyfikator klucza dostępu platformy AWS, klucz dostępu wpisu tajnego platformy AWS, nazwę folderu EventPrefixFolderName, alertPrefixFolderName i zweryfikuj identyfikator URI.

  • Wprowadź identyfikator URI odpowiadający twojemu regionowi. Pełną listę adresów URL interfejsu API można znaleźć tutaj
  • Domyślny interwał czasu jest ustawiony na ściąganie danych z ostatnich pięciu (5) minut. Jeśli interwał czasu wymaga modyfikacji, zaleca się odpowiednią zmianę wyzwalacza czasomierza aplikacji funkcji (w pliku function.json, po wdrożeniu), aby zapobiec nakładaniu się pozyskiwania danych.
  • Carbon Black wymaga oddzielnego zestawu identyfikatorów/kluczy interfejsu API do pozyskiwania alertów powiadomień. Wprowadź wartości identyfikatora/klucza interfejsu API SIEM lub pozostaw wartość pustą, jeśli nie jest to wymagane.
  • Uwaga: jeśli używasz Azure Key Vault wpisów tajnych dla dowolnej z powyższych wartości, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  1. Zaznacz pole wyboru z etykietą Wyrażam zgodę na powyższe warunki i postanowienia.
  2. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik VMware Carbon Black przy użyciu Azure Functions.

  1. Tworzenie aplikacji funkcji

  2. W portalu Azure przejdź do pozycji Aplikacja funkcji i wybierz pozycję + Dodaj.

  3. Na karcie Podstawy upewnij się, że stos środowiska uruchomieniowego ma ustawioną wartość PowerShell Core.

  4. Na karcie Hosting upewnij się, że wybrano typ planu Zużycie (bezserwerowe ).

  5. W razie potrzeby wprowadź inne preferowane zmiany konfiguracji, a następnie kliknij przycisk Utwórz.

  6. Importowanie kodu aplikacji funkcji

  7. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje w okienku po lewej stronie, a następnie kliknij pozycję + Dodaj.

  8. Wybierz pozycję Wyzwalacz czasomierza.

  9. Wprowadź unikatową nazwę funkcji i w razie potrzeby zmodyfikuj harmonogram cron. Wartość domyślna jest ustawiona na uruchamianie aplikacji funkcji co 5 minut. (Uwaga: wyzwalacz czasomierza powinien być zgodny z poniższą wartością timeInterval , aby zapobiec nakładaniu się danych), kliknij przycisk Utwórz.

  10. Kliknij pozycję Kod i testowanie w okienku po lewej stronie.

  11. Skopiuj kod aplikacji funkcji i wklej go do edytora aplikacji run.ps1 funkcji.

  12. Kliknij Zapisz.

  13. Konfigurowanie aplikacji funkcji

  14. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  15. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  16. Dodaj każde z następujących trzynastu do szesnastu (13–16) ustawień aplikacji indywidualnie, z odpowiednimi wartościami ciągu (wielkość liter): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiID (opcjonalnie) SIEMapiKey (opcjonalnie) logAnalyticsUri (opcjonalnie)

  • Wprowadź identyfikator URI odpowiadający twojemu regionowi. Pełną listę adresów URL interfejsu API można znaleźć tutaj. Wartość musi być zgodna uri z następującym schematem: https://<API URL>.conferdeploy.net — nie ma potrzeby dodawania sufiksu czasu do identyfikatora URI, aplikacja funkcji dynamicznie dołącza wartość czasu do identyfikatora URI w odpowiednim formacie.
  • Ustaw wartość domyślną timeInterval (w minutach) na wartość domyślną 5 odpowiadającą domyślnemu wyzwalaczowi czasomierza co 5 minutę. Jeśli interwał czasu wymaga modyfikacji, zaleca się odpowiednią zmianę wyzwalacza czasomierza aplikacji funkcji, aby zapobiec nakładaniu się danych.
  • Carbon Black wymaga oddzielnego zestawu identyfikatorów/kluczy interfejsu API do pozyskiwania alertów powiadomień. SIEMapiId Wprowadź wartości iSIEMapiKey, jeśli to konieczne, lub pomiń, jeśli nie jest to wymagane.
  • Uwaga: jeśli używasz Azure Key Vault, użyj schematu@Microsoft.KeyVault(SecretUri={Security Identifier})zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault odwołań.
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:https://<CustomerId>.ods.opinsights.azure.us
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.



Zdarzenia Administracja przeglądarki Island Enterprise (starsza wersja)

Obsługiwane przez:Island

Jest to starszy łącznik i nie jest już zalecany. Zamiast tego użyj łącznika danych island enterprise browser v2 , który obsługuje zdarzenia użytkowników, administratorów i systemów w ramach jednego łącznika.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Island_Admin_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Klucz interfejsu API wyspy: wymagany jest klucz interfejsu API wyspy.

Instrukcje dotyczące konfiguracji:

Połącz wyspę z Microsoft Sentinel

Jest to starszy łącznik. Aby uzyskać pełne instrukcje dotyczące konfiguracji, zapoznaj się z oficjalną dokumentacją wyspy (wymaga logowania do konsoli zarządzania wyspami).



Zdarzenia użytkownika przeglądarki Island Enterprise (starsza wersja)

Obsługiwane przez:Island

Jest to starszy łącznik i nie jest już zalecany. Zamiast tego użyj łącznika danych island enterprise browser v2 , który obsługuje zdarzenia użytkowników, administratorów i systemów w ramach jednego łącznika.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Island_User_CL Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Wymagania wstępne:

  • Klucz interfejsu API wyspy: wymagany jest klucz interfejsu API wyspy.

Instrukcje dotyczące konfiguracji:

Połącz wyspę z Microsoft Sentinel

Jest to starszy łącznik. Aby uzyskać pełne instrukcje dotyczące konfiguracji, zapoznaj się z oficjalną dokumentacją wyspy (wymaga logowania do konsoli zarządzania wyspami).



Zdarzenia zabezpieczeń za pośrednictwem starszego agenta

Obsługiwane przez:Microsoft Corporation

Wszystkie zdarzenia zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityEvent Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Microsoft Defender oparta na subskrypcji dla chmury (starsza wersja)

Obsługiwane przez:Microsoft Corporation

Microsoft Defender dla Chmury to narzędzie do zarządzania zabezpieczeniami, które umożliwia wykrywanie zagrożeń i szybkie reagowanie na nie w ramach obciążeń Azure, hybrydowych i wielochmurowych. Ten łącznik umożliwia przesyłanie strumieniowe alertów zabezpieczeń z usługi Microsoft Defender dla Chmury do Microsoft Sentinel, dzięki czemu można wyświetlać dane usługi Defender w skoroszytach, wysyłać do niego zapytania w celu generowania alertów oraz badać zdarzenia i reagować na nie.

Aby uzyskać więcej informacji>

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
SecurityAlert Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Dziennik systemowy za pośrednictwem starszego agenta

Obsługiwane przez:Microsoft Corporation

Syslog to protokół rejestrowania zdarzeń, który jest typowy dla Linux. Aplikacje będą wysyłać komunikaty, które mogą być przechowywane na komputerze lokalnym lub dostarczane do modułu zbierającego Syslog. Po zainstalowaniu agenta Linux konfiguruje demona lokalnego dziennika systemu w celu przekazywania komunikatów do agenta. Następnie agent wysyła komunikat do obszaru roboczego.

Dowiedz się więcej >

Tabele usługi Log Analytics:

Tabela Obsługa dcr Pozyskiwanie tylko po jeziorze
Syslog Tak Tak

Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR

Następne kroki

Więcej informacji można znaleźć w następujących artykułach:

  • Last updated on