Соединитель управления тенями уязвимостей (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных TVM предоставляет возможность приема данных активов и уязвимостей в Microsoft Sentinel с помощью REST API TVM. Дополнительные сведения см. в документации по API. Соединитель предоставляет возможность получать данные, которые помогают изучить потенциальные риски безопасности, получить представление о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя	Description
Параметры приложения	TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (необязательно)
Код приложения-функции Azure	https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp
Таблицы Log Analytics	Tenable_VM_Assets_CL Tenable_VM_Vuln_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Tenable

Примеры запросов

Отчет о десять виртуальных машинах — все ресурсы

Tenable_VM_Assets_CL

| sort by TimeGenerated desc

Отчет о десять виртуальных машинах — все виртуальные машины

Tenable_VM_Vuln_CL

| sort by TimeGenerated desc

Выберите уникальные уязвимости по определенному ресурсу.

Tenable_VM_Vuln_CL

| where asset_fqdn_s has "one.one.one.one"

| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d

Выберите все ресурсы Azure.

Tenable_VM_Assets_CL

| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)

Необходимые компоненты

Чтобы интегрироваться с Tenable Vulnerability Management (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
• Учетные данные и разрешения REST API. Для доступа к Тенеблируемому REST API требуется как TenableAccessKey , так и TenableSecretKey . Дополнительные сведения об API см. в документации. Проверьте все требования и следуйте инструкциям по получению учетных данных.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Azure Устойчивые функции для подключения к API TenableVM для извлечения ресурсов и уязвимостей через регулярный интервал в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа TenableVM для уязвимостей и средства синтаксического анализа TenableVM для ресурсов на основе функции Kusto, которая должна работать должным образом, которая развертывается с помощью решения Microsoft Sentinel.

ШАГ 1. Действия по настройке для TenableVM

Следуйте инструкциям , чтобы получить необходимые учетные данные API.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанного приложения-функции Azure

Перед развертыванием соединителя данных рабочей области у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных отчета об управлении уязвимостями TenableVM с помощью шаблона ARM.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите TenableAccessKey и TenableSecretKey и deploy.

4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных отчета об управлении уязвимостями TenableVM вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

Вам потребуется подготовить VS Code для разработки функций Azure.

1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

3. Выберите папку верхнего уровня из извлеченных файлов.

4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

5. Введите следующие сведения по соответствующим запросам:

   a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

   b. Выберите подписку: выберите используемую подписку.

   c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

   d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, TenableVMXXXXX).

   д) Выберите среду выполнения: выберите Python 3.11.

   f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".

2. На вкладке Параметры приложения выберите Новый параметр приложения.

3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):

   • TenableAccessKey
   • TenableSecretKey
   • WorkspaceID
   • WorkspaceKey
   • logAnalyticsUri (необязательно)
   • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<WorkspaceID>.ods.opinsights.azure.us

4. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.