Łącznik zarządzania lukami w zabezpieczeniach (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych tvM zapewnia możliwość pozyskiwania danych zasobów i luk w zabezpieczeniach w usłudze Microsoft Sentinel przy użyciu interfejsów API REST programu TVM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API. Łącznik zapewnia możliwość pobierania danych, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, uzyskiwanie wglądu w zasoby obliczeniowe, diagnozowanie problemów z konfiguracją i nie tylko
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Ustawienia aplikacji | TenableAccessKey TenableSecretKey Identyfikator obszaru roboczego Klucz obszaru roboczego logAnalyticsUri (opcjonalnie) |
| Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp |
| Tabele usługi Log Analytics | Tenable_VM_Assets_CL Tenable_VM_Vuln_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Utrzymania |
Przykłady zapytań
Raport z możliwością obsługi maszyny wirtualnej — wszystkie zasoby
Tenable_VM_Assets_CL
| sort by TimeGenerated desc
Raport maszyny wirtualnej z możliwością obsługi — wszystkie infrastruktury Vulns
Tenable_VM_Vuln_CL
| sort by TimeGenerated desc
Wybierz unikatowe luki w zabezpieczeniach według określonego zasobu.
Tenable_VM_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Wybierz wszystkie zasoby platformy Azure.
Tenable_VM_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Wymagania wstępne
Aby zintegrować z rozwiązaniem Tenable Vulnerability Management (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: Do uzyskania dostępu do interfejsu API REST wymagany jest zarówno klucz TenableAccessKey , jak i tenableSecretKey . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Durable Functions do nawiązywania połączenia z interfejsem API TenableVM w celu ściągnięcia zasobów i luk w zabezpieczeniach w regularnym odstępie czasu w usłudze Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora TenableVM pod kątem luk w zabezpieczeniach i analizatora TenableVM dla zasobów opartych na funkcji Kusto, która działa zgodnie z oczekiwaniami, która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
KROK 1. Kroki konfiguracji maszyny wirtualnej TenableVM
Postępuj zgodnie z instrukcjami , aby uzyskać wymagane poświadczenia interfejsu API.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną aplikację funkcji platformy Azure
Przed wdrożeniem łącznika danych obszaru roboczego należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można skopiować z następujących elementów).
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika danych raportów o lukach w zabezpieczeniach tenableVM przy użyciu szablonu usługi ARM.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź wartość TenableAccessKey i TenableSecretKey i wdróż.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych raportów o lukach w zabezpieczeniach programu TenableVM za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie aplikacji funkcji
Musisz przygotować program VS Code do programowania funkcji platformy Azure.
Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.
Wybierz folder najwyższego poziomu z wyodrębnionych plików.
Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.
Podaj następujące informacje po wyświetleniu monitów:
a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.
c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)
d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. TenableVMXXXXX).
e. Wybierz środowisko uruchomieniowe: wybierz pozycję Python 3.11.
f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.
Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
2. Konfigurowanie aplikacji funkcji
W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (wielkość liter):
- TenableAccessKey
- TenableSecretKey
- Identyfikator obszaru roboczego
- Klucz obszaru roboczego
- logAnalyticsUri (opcjonalnie)
- Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:
https://<WorkspaceID>.ods.opinsights.azure.us.
Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.