Соединитель облачных данных Rubrik Security (с помощью Функции Azure) для Microsoft Sentinel

Соединитель облачных данных Rubrik Security позволяет группам по операциям безопасности интегрировать аналитические сведения из служб наблюдения за данными Rubrik в Microsoft Sentinel. Эти аналитические сведения включают идентификацию аномального поведения файловой системы, связанного с программ-шантажистов и массовым удалением, оценку радиуса взрыва атаки программы-шантажистов и операторов конфиденциальных данных, чтобы определить приоритеты и быстрее исследовать потенциальные инциденты.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя	Description
Код приложения-функции Azure	https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Таблицы Log Analytics	Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Rubrik

Примеры запросов

События Аномалии Rubrik — события аномалий для всех типов серьезности.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

События анализа программ-шантажистов Rubrik — события анализа программ-шантажистов для всех типов серьезности.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

События Rubrik ThreatHunt — события охоты на угрозы для всех типов серьезности.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с соединителем данных Rubrik Security Cloud (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к веб-перехватчику Rubrik, который отправляет журналы в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure.

ВАЖНО. Прежде чем развертывать соединитель данных Rubrik Microsoft Sentinel, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего элемента).

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Rubrik.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите следующие сведения: ключ рабочей области идентификатора рабочей области имени функции Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных Rubrik Microsoft Sentinel вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

3. Выберите папку верхнего уровня из извлеченных файлов.

4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

5. Введите следующие сведения по соответствующим запросам:

   a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

   b. Выберите подписку: выберите используемую подписку.

   c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

   d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, RubrikXXXXXXXX).

   д) Выберите среду выполнения: выберите Python 3.8 или более поздней версии.

   f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (необязательно)

• Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us

4. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Шаги после развертывания

1. Получение конечной точки приложения-функции

1. Перейдите на страницу обзора функций Azure и перейдите на вкладку "Функции".
2. Щелкните функцию с именем RubrikHttpStarter.
3. Перейдите в раздел GetFunctionurl и скопируйте URL-адрес функции.

2. Добавьте веб-перехватчик в RubrikSecurityCloud для отправки данных в Microsoft Sentinel.

Следуйте инструкциям в руководстве пользователя Rubrik, чтобы добавить веб-перехватчик , чтобы начать получение сведений о событии, связанных с аномалиями программ-шантажистов

1. Выберите универсальный поставщик веб-перехватчика (это будет использовать сведения о событиях в формате CEF)
2. Введите URL-часть из скопированного URL-адреса функции в качестве конечной точки URL-адреса веб-перехватчика и замените {functionname} на "RubrikAnomalyOrchestrator", для решения Rubrik Microsoft Sentinel
3. Выберите параметр "Дополнительно" или "Настраиваемая проверка подлинности"
4. Введите ключ x-functions-key в качестве заголовка HTTP
5. Введите ключ доступа к функции (значение параметра кода из скопированного URL-адреса функции) в качестве значения HTTP(Примечание. Если изменить этот ключ доступа к функции в Microsoft Sentinel в будущем, необходимо обновить эту конфигурацию веб-перехватчика).
6. Выберите EventType в качестве аномалии
7. Выберите следующие уровни серьезности: критические, предупреждения, информационные
8. Повторите те же действия, чтобы добавить веб-перехватчики для анализа исследования программ-шантажистов и охоты на угрозы.

ПРИМЕЧАНИЕ. При добавлении веб-перехватчиков для анализа исследования программ-шантажистов и охоты на угрозы замените {functionname}на RubrikRansomwareOrchestrator иRubrikThreatHuntOrchestrator соответственно в скопированном URL-адресе функции.

Теперь мы закончим настройку rubrik Webhook. После активации событий веб-перехватчика вы сможете видеть аномалии, анализ исследования программ-шантажистов, события Охоты на угрозы из Rubrik в соответствующей таблице рабочей области LogAnalytics под названием "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.