Compartilhar via


Conector do GPSN do Palo Alto Prisma Cloud (usando o Azure Functions) para o Microsoft Sentinel

O conector de dados CSPM Palo Alto Prisma Cloud fornece a capacidade de ingerir alertas CSPM do Prisma Cloud e logs de auditoria no Microsoft Sentinel usando a API do CSPM Prisma Cloud. Consulte a documentação da API do CSPM Prisma Cloud para obter mais informações.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o fornecedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics PaloAltoPrismaCloudAlert_CL
PaloAltoPrismaCloudAudit_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Microsoft Corporation

Exemplos de consulta

Todos os alertas do Prisma Cloud

PaloAltoPrismaCloudAlert_CL

| sort by TimeGenerated desc

Todos os logs de auditoria do Prisma Cloud

PaloAltoPrismaCloudAudit_CL

| sort by TimeGenerated desc

Pré-requisitos

Para se integrar ao GPSN do Palo Alto Prisma Cloud (usando o Azure Functions), certifique-se de ter:

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar à API REST do Palo Alto Prisma Cloud para puxar logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

Observação

Esse conector de dados depende de um analisador baseado em uma Função Kusto para funcionar como esperado PaloAltoPrismaCloud, que é implantado com a Solução Microsoft Sentinel.

ETAPA 1- Configuração do Prisma Cloud

Siga a documentação para criar a Chave de Acesso do Prisma Cloud e obter a URL da API do Prisma Cloud

OBSERVAÇÃO: use a função de ADMINISTRADOR DO SISTEMA para dar acesso à API do Prisma Cloud porque apenas a função de ADMINISTRADOR DO SISTEMA tem permissão para Exibir os logs de auditoria do Prisma Cloud. Consulte Permissões do Administrador do Prisma Cloud (paloaltonetworks.com) para obter mais detalhes sobre as permissões do administrador.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado

IMPORTANTE: antes de implantar o conector de dados do Prisma Cloud, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (podem ser copiadas do seguinte), bem como as credenciais da API do Prisma Cloud, prontamente disponíveis.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.