Partilhar via


Conector de proteção de API para Microsoft Sentinel

Conecta a proteção da API 42Crunch ao Azure Log Analytics por meio da interface da API REST

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics apifirewall_log_1_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Proteção da API 42Crunch

Exemplos de consulta

Solicitações de API com taxa limitada

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Solicitações de API gerando um erro de servidor

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Solicitações de API com falha na validação JWT

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Instruções de instalação do fornecedor

Passo 1: Leia a documentação detalhada

O processo de instalação é documentado em grande detalhe no repositório GitHub integração Microsoft Sentinel. O usuário deve consultar mais este repositório para entender a instalação e depuração da integração.

Etapa 2: recuperar as credenciais de acesso ao espaço de trabalho

A primeira etapa de instalação é recuperar o ID do espaço de trabalho e a chave primária da plataforma Sentinel. Copie os valores mostrados abaixo e salve-os para a configuração da integração do encaminhador de log da API.

Etapa 3: Instale a proteção 42Crunch e o encaminhador de log

O próximo passo é instalar a proteção 42Crunch e o encaminhador de log para proteger sua API. Ambos os componentes estão disponíveis como contêineres do repositório 42Crunch. A instalação exata dependerá do seu ambiente, consulte a documentação de proteção do 42Crunch para obter detalhes completos. Dois cenários de instalação comuns são descritos abaixo:

Instalação via Docker Compose

A solução pode ser instalada usando um arquivo de composição do Docker.

Instalação através de gráficos Helm

A solução pode ser instalada usando um gráfico Helm.

Passo 4: Testar a ingestão de dados

Para testar a ingestão de dados, o usuário deve implantar o aplicativo httpbin de exemplo ao lado da proteção 42Crunch e do encaminhador de log descritos em detalhes aqui.

4.1 Instalar o exemplo

O aplicativo de exemplo pode ser instalado localmente usando um arquivo de composição do Docker que instalará o servidor da API httpbin, a proteção da API 42Crunch e o encaminhador de log do Sentinel. Defina as variáveis de ambiente conforme necessário usando os valores copiados da etapa 2.

4.2 Executar o exemplo

Verifique se a proteção da API está conectada à plataforma 42Crunch e, em seguida, exerça a API localmente no localhost na porta 8080 usando Postman, curl ou similar. Você deve ver uma mistura de chamadas de API que passam e falham.

4.3 Verificar a ingestão de dados no Log Analytics

Depois de aproximadamente 20 minutos, acesse o espaço de trabalho do Log Analytics na instalação do Sentinel e localize a seção Logs personalizados , verifique se existe uma tabela apifirewall_log_1_CL . Use as consultas de exemplo para examinar os dados.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.