TheHive Project – TheHive (usando o Azure Functions) para Microsoft Sentinel
O conector de dados TheHive oferece a capacidade de ingerir eventos comuns do TheHive no Microsoft Sentinel por meio de webhooks. O TheHive pode notificar o sistema externo de eventos de modificação (abertura de caso, atualização de alerta, atribuição de tarefa) em tempo real. Quando ocorre uma alteração no TheHive, uma solicitação HTTPS POST com informações do evento é enviada para uma URL do conector de dados de retorno de chamada. Consulte a documentação de webhooks para obter mais informações. O conector fornece a capacidade de obter eventos que ajudam a examinar riscos de segurança em potencial, analisar o uso colaboração pela sua equipe, diagnosticar problemas de configuração e muito mais.
Esse conteúdo foi gerado automaticamente. Para sugerir alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | TheHive_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | Microsoft Corporation |
Exemplos de consulta
Eventos do TheHive – Todas as atividades.
TheHive_CL
| sort by TimeGenerated desc
Pré-requisitos
Para fazer a integração com o TheHive Project – TheHive (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões de webhooks: TheHiveBearerToken, URL de retorno de chamada são necessários para trabalhar com webhooks. Consulte a documentação para saber mais sobre como configurar webhooks.
Instruções de instalação do fornecedor
Observação
Esse conector de dados usa o Azure Functions com base no Gatilho HTTP para aguardar solicitações POST com logs para efetuar pull de seus logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar conforme o esperado, o TheHive, que é implantado com a Solução do Microsoft Sentinel.
ETAPA 1 – Etapas de configuração do TheHive
Siga as instruções para configurar webhooks.
- O método de autenticação é Beared Auth.
- Gere o TheHiveBearerToken de acordo com sua política de senha.
- Configure as notificações de webhook no arquivo application.conf, incluindo o parâmetro TheHiveBearerToken.
ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Function associado
IMPORTANTE: antes de implantar o conector de dados TheHive, tenha em mãos a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada a seguir).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.