Соединитель данных Bitsight (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных BitSight поддерживает мониторинг кибер-рисков на основе доказательств путем привлечения данных BitSight в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя	Description
Код приложения-функции Azure	https://aka.ms/sentinel-BitSight-functionapp
Таблицы Log Analytics	Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Поддержка BitSight

Примеры запросов

События оповещений BitSight — события оповещений для всех компаний в портфеле.

Alerts_data_CL

| sort by TimeGenerated desc

События нарушений BitSight — событие нарушений для всех компаний в портфеле.

BitsightBreaches_data_CL

| sort by TimeGenerated desc

События Сведений о компании BitSight — событие сведений о компании для всех компаний в портфеле.

BitsightCompany_details_CL

| sort by TimeGenerated desc

События о рейтингах компании BitSight — событие "Рейтинги компании" для всех компаний.

BitsightCompany_rating_details_CL

| sort by TimeGenerated desc

События истории статистики BitSight — событие статистики по анализу журналов для всех компаний.

BitsightDiligence_historical_statistics_CL

| sort by TimeGenerated desc

События Статистики BitSight — событие статистики по проверке данных для всех компаний.

BitsightDiligence_statistics_CL

| sort by TimeGenerated desc

События результаты BitSight — событие результатов для всех компаний.

BitsightFindings_data_CL

| sort by TimeGenerated desc

События сводки результатов BitSight — событие сводки результатов для всех компаний.

BitsightFindings_summary_CL

| sort by TimeGenerated desc

События Graph BitSight — событие Graph для всех компаний.

BitsightGraph_data_CL

| sort by TimeGenerated desc

События Промышленной статистики BitSight — событие промышленной статистики для всех компаний.

BitsightIndustrial_statistics_CL

| sort by TimeGenerated desc

События статистики наблюдения BitSight — событие статистики наблюдения для всех компаний.

BitsightObservation_statistics_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с соединителем данных Bitsight (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
• Учетные данные и разрешения REST API: требуется маркер API BitSight. Дополнительные сведения о токене API см. в документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API BitSight для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по созданию и получении маркера API Bitsight

Следуйте этим инструкциям, чтобы получить токен API BitSight.

1. Для приложения SPM: перейдите на вкладку "Предпочтения пользователя" на странице учетной записи, перейдите к > маркеру API параметров > учетной записи учетной записи>.
2. Для приложения TPRM: перейдите на вкладку "Предпочтения пользователя" на странице учетной записи, перейдите к маркеру > API параметров > учетной записи учетной записи>.
3. Для классической версии BitSight: перейдите на страницу учетной записи, перейдите к маркеру API параметров > учетной записи>.

ШАГ 2. Шаги регистрации приложений для приложения в идентификаторе Microsoft Entra

Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать новое приложение в идентификаторе Microsoft Entra ID:

1. Войдите на портал Azure.
2. Найдите и выберите Microsoft Entra ID.
3. В разделе "Управление" выберите Регистрация приложений > Создать регистрацию.
4. Введите отображаемое имя приложения.
5. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.
6. После завершения регистрации на портале Azure отображается область Общие сведения для регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения Соединителя данных BitSight.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app

ШАГ 3. Добавление секрета клиента для приложения в идентификатор Microsoft Entra

Иногда называется паролем приложения, секрет клиента — это строковое значение, необходимое для выполнения Соединителя данных BitSight. Выполните действия, описанные в этом разделе, чтобы создать новый секрет клиента:

1. Выберите приложение в разделе Регистрация приложений на портале Azure.
2. Выберите сертификаты и секреты > > секретов клиента New client secret.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите настраиваемое время существования. Ограничение составляет 24 месяца.
5. Выберите Добавить.
6. Запишите значение секрета, чтобы затем использовать его в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы. Значение секрета требуется в качестве параметра конфигурации для выполнения Соединителя данных BitSight.

Справочная ссылка: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ШАГ 4. Назначение роли участника приложению в идентификаторе Microsoft Entra

Выполните действия, описанные в этом разделе, чтобы назначить роль:

1. В портал Azure перейдите в группу ресурсов и выберите свою группу ресурсов.
2. Перейдите к элементу управления доступом (IAM) на левой панели.
3. Нажмите кнопку "Добавить", а затем выберите "Добавить назначение роли".
4. Выберите участника в качестве роли и нажмите кнопку "Далее".
5. В поле "Назначить доступ" выберите User, group, or service principal.
6. Щелкните добавить участников и введите имя созданного приложения и выберите его.
7. Теперь нажмите кнопку "Рецензирование" и "Назначить " и снова нажмите кнопку "Рецензирование" и " Назначить".

Ссылка на ссылку: /azure/role-based-access-control/role-assignments-portal

ШАГ 5. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure.

ВАЖНО. Перед развертыванием соединителя данных BitSight укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего) легко доступны.., а также маркер API BitSight.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя BitSight.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите следующие сведения:

   • Имя функции
   • Идентификатор рабочей области
   • Ключ рабочей области
   • API_token
   • Компании
   • Azure_Client_Id
   • Azure_Client_Secret
   • Azure_Tenant_Id
   • Portfolio_Companies_Table_Name
   • Alerts_Table_Name
   • Breaches_Table_Name
   • Company_Table_Name
   • Company_Rating_Details_Table_Name
   • Diligence_Historical_Statistics_Table_Name
   • Diligence_Statistics_Table_Name
   • Findings_Summary_Table_Name
   • Findings_Table_Name
   • Graph_Table_Name
   • Industrial_Statistics_Table_Name
   • Observation_Statistics_Table_Name
   • Уровень журнала
   • Расписание
   • Schedule_Portfolio

4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных BitSight вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

3. Выберите папку верхнего уровня из извлеченных файлов.

4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

5. Введите следующие сведения по соответствующим запросам:

   a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

   b. Выберите подписку: выберите используемую подписку.

   c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

   d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, BitSightXXXXXX).

   д) Выберите среду выполнения: выберите Python 3.8 или более поздней версии.

   f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра):
   • Идентификатор рабочей области
   • Ключ рабочей области
   • API_token
   • Компании
   • Azure_Client_Id
   • Azure_Client_Secret
   • Azure_Tenant_Id
   • Portfolio_Companies_Table_Name
   • Alerts_Table_Name
   • Breaches_Table_Name
   • Company_Table_Name
   • Company_Rating_Details_Table_Name
   • Diligence_Historical_Statistics_Table_Name
   • Diligence_Statistics_Table_Name
   • Findings_Summary_Table_Name
   • Findings_Table_Name
   • Graph_Table_Name
   • Industrial_Statistics_Table_Name
   • Observation_Statistics_Table_Name
   • Уровень журнала
   • Расписание
   • Schedule_Portfolio
4. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.