Поделиться через

Соединитель безопасности передачи (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных передачи данных безопасности предоставляет возможность приема распространенных событий передачи API безопасности в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Параметры приложения TransmitSecurityClientID
ПередачаSecurityClientSecret
ПередачаSecurityAdminActivityEndpoint
ПередачаSecurityUserActivityEndpoint
ПередачаSecurityTokenEndpoint
WorkspaceID
WorkspaceKey
logAnalyticsUri (необязательно)
Код приложения-функции Azure https://aka.ms/sentinel-TransmitSecurityAPI-functionapp
Таблицы Log Analytics TransmitSecurityAdminActivity_CL
TransmitSecurityUserActivity_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Безопасность передачи

Примеры запросов

TransmitSecurityAdminActivity_CL

| sort by TimeGenerated desc

TransmitSecurityUserActivity_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с соединителем безопасности передачи (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Идентификатор клиента REST API: Требуется Идентификатор клиента TransmitSecurityClientID . Дополнительные сведения об API см. в https://developer.transmitsecurity.com/документации.
  • Секрет клиента REST API: требуется ПередачаSecurityClientSecret . Дополнительные сведения об API см. в https://developer.transmitsecurity.com/документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API безопасности передачи журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке для API безопасности передачи

Следуйте инструкциям, чтобы получить учетные данные.

  1. Войдите на портал безопасности передачи.
  2. Настройка приложения управления. Присвойте приложению подходящее имя, например MyAzureSentinelCollector.
  3. Сохраните учетные данные нового пользователя для использования в соединителе данных.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

Перед развертыванием соединителя данных передачи данных у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных аудита безопасности передачи с помощью tempate ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure Развернуть в Azure Gov

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

    Приложения Windows и Linux, размещенные в одном регионе, не могут находиться в одной и той же группе ресурсов. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов.

  3. Введите DataSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityUserActivityEndpoint, TransmitSecurityAdminActivityEndpoint, TransmitSecurityTokenEndpoint и deploy.

  4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Используйте приведенные ниже пошаговые инструкции по развертыванию соединителя данных DataSecurity Reports вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

Вам потребуется подготовить VS Code для разработки функций Azure.

  1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

  2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

  3. Выберите папку верхнего уровня из извлеченных файлов.

  4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

  5. Введите следующие сведения по соответствующим запросам:

    a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

    b. Выберите подписку: выберите используемую подписку.

    c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

    d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure.

    д) Выберите среду выполнения: выберите Python 3.8.

    f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

  6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

  7. Перейдите к портал Azure конфигурации приложения-функции.

2. Настройка приложения-функции

  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".

  2. Выберите Переменные среды.

  3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):

    • TransmitSecurityClientID
    • ПередачаSecurityClientSecret
    • ПередачаSecurityAdminActivityEndpoint
    • ПередачаSecurityUserActivityEndpoint
    • ПередачаSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (необязательно)
    • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us

  4. После ввода всех параметров приложения нажмите кнопку "Применить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.