Conector do GPSN do Palo Alto Prisma Cloud (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados CSPM Palo Alto Prisma Cloud fornece a capacidade de ingerir alertas CSPM do Prisma Cloud e logs de auditoria no Microsoft Sentinel usando a API do CSPM Prisma Cloud. Consulte a documentação da API do CSPM Prisma Cloud para obter mais informações.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o fornecedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os alertas do Prisma Cloud
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Todos os logs de auditoria do Prisma Cloud
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Pré-requisitos
Para se integrar ao GPSN do Palo Alto Prisma Cloud (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais da API do Palo Alto Prisma Cloud: Url da API do Prisma Cloud, ID da Chave de Acesso ao Prisma Cloud, Chave Secreta do Prisma Cloud são necessárias para a conexão da API do Prisma Cloud. Consulte a documentação para saber mais sobre a criação da Chave de Acesso do Prisma Cloud e sobre a obtenção da URL da API do Prisma Cloud
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar à API REST do Palo Alto Prisma Cloud para puxar logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar como esperado PaloAltoPrismaCloud, que é implantado com a Solução Microsoft Sentinel.
ETAPA 1- Configuração do Prisma Cloud
Siga a documentação para criar a Chave de Acesso do Prisma Cloud e obter a URL da API do Prisma Cloud
OBSERVAÇÃO: use a função de ADMINISTRADOR DO SISTEMA para dar acesso à API do Prisma Cloud porque apenas a função de ADMINISTRADOR DO SISTEMA tem permissão para Exibir os logs de auditoria do Prisma Cloud. Consulte Permissões do Administrador do Prisma Cloud (paloaltonetworks.com) para obter mais detalhes sobre as permissões do administrador.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado
IMPORTANTE: antes de implantar o conector de dados do Prisma Cloud, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (podem ser copiadas do seguinte), bem como as credenciais da API do Prisma Cloud, prontamente disponíveis.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.