Поделиться через


Соединитель данных ресурса безопасности Holm (с помощью Функции Azure) для Microsoft Sentinel

Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics net_assets_CL
web_assets_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Holm Security

Примеры запросов

Все низкие чистые ресурсы

net_assets_CL
         
| where severity_s  == 'low'

Все низкие веб-ресурсы

web_assets_CL
         
| where severity_s  == 'low'

Необходимые компоненты

Чтобы интегрироваться с данными ресурса безопасности Holm (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к ресурсам безопасности Holm для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке для API безопасности Holm

Следуйте этим инструкциям , чтобы создать маркер проверки подлинности API.

ШАГ 2. Используйте приведенный ниже вариант развертывания для развертывания соединителя и связанной функции Azure.

ВАЖНО. Перед развертыванием соединителя Holm Security укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации Holm API безопасности, легко доступный.

Развертывание шаблона Azure Resource Manager (ARM)

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Holm Security.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, "и/или другие обязательные поля".

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Пометить проверка box с меткой я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.