Соединитель Cisco Secure Endpoint (AMP) (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных Cisco Secure Endpoint (прежнее название — AMP для конечных точек) предоставляет возможность приема журналов аудита и событий безопасной конечной точки Cisco в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Код приложения-функции Azure https://aka.ms/sentinel-ciscosecureendpoint-functionapp
Таблицы Log Analytics CiscoSecureEndpoint_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Все журналы безопасных конечных точек Cisco

CiscoSecureEndpoint_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с безопасной конечной точкой Cisco (AMP) (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные API безопасной конечной точки Cisco: требуются идентификатор клиента и ключ API Cisco Secure Endpoint. Дополнительные сведения об API безопасной конечной точки Cisco см. в документации. Домен API также должен быть предоставлен.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API безопасной конечной точки Cisco для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , CiscoSecureEndpoint , развернутой с помощью решения Microsoft Sentinel.

ШАГ 1. Получение учетных данных API безопасной конечной точки Cisco

  1. Следуйте инструкциям в документации по созданию идентификатора клиента и ключа API.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите узел API безопасных конечных точек Cisco, идентификатор клиента безопасной конечной точки Cisco, ключ API безопасной конечной точки Cisco, идентификатор рабочей области Microsoft Sentinel, общий ключ Microsoft Sentinel

  4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

  1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

  2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

  3. Выберите папку верхнего уровня из извлеченных файлов.

  4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

  5. Введите следующие сведения по соответствующим запросам:

    a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

    b. Выберите подписку: выберите используемую подписку.

    c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

    d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure.

    д) Выберите среду выполнения: выберите Python 3.8.

    f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

  6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

  7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
  2. На вкладке Параметры приложения выберите +Новый параметр приложения.
  3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): CISCO_SE_API_API_HOST CISCO_SE_API_CLIENT_ID CISCO_SE_API_KEY WORKSPACE_ID SHARED_KEY logAnalyticsUri (необязательно)
  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://WORKSPACE_ID.ods.opinsights.azure.us
  1. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.