Поделиться через

Согласованность (использование соединителя Функции Azure) для Microsoft Sentinel

  • Статья

Приложения-функции "Сплоченность" предоставляют возможность приема оповещений программы-шантажистов в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Cohesity_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Сплоченность

Примеры запросов

Все журналы сплоченности

Cohesity_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Сплоченностью (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Хранилище BLOB-объектов Azure строка подключения и имя контейнера: Хранилище BLOB-объектов Azure строка подключения и имя контейнера

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure, которые подключаются к Хранилище BLOB-объектов Azure и KeyVault. Это может привести к дополнительным затратам. Дополнительные сведения см. на странице цен Функции Azure Хранилище BLOB-объектов Azure и странице цен Azure KeyVault.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.

ШАГ 1. Получение ключа API "Сплоченность DataHawk" (см. инструкцию по устранению неполадок 1)

ШАГ 2. Регистрация приложения Azure (ссылка) и сохранение идентификатора приложения (клиента), идентификатора каталога (клиента) и значения секрета (инструкции). Предоставьте ему разрешение служба хранилища Azure (user_impersonation). Кроме того, назначьте роль "Участник Microsoft Sentinel" приложению в соответствующей подписке.

ШАГ 3. Развертывание соединителя и связанного Функции Azure.

Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных "Сплоченность" с помощью шаблона ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите параметры, созданные на предыдущих шагах

  4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.