Dela via

Tenable.io Sårbarhetshantering (med azure-funktion) för Microsoft Sentinel

  • Artikel

Den Tenable.io dataanslutningsappen ger möjlighet att mata in tillgångs- och sårbarhetsdata i Microsoft Sentinel via REST-API:et från Tenable.io-plattformen (hanteras i molnet). Mer information finns i API-dokumentationen. Anslutningsappen ger möjlighet att hämta data som hjälper till att undersöka potentiella säkerhetsrisker, få insikt i dina databehandlingstillgångar, diagnostisera konfigurationsproblem med mera

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Programinställningar TenableAccessKey
TenableSecretKey
WorkspaceID
Arbetsytenyckel
logAnalyticsUri (valfritt)
Kod för Azure-funktionsapp https://aka.ms/sentinel-TenableIO-functionapp
Log Analytics-tabeller Tenable_IO_Assets_CL
Tenable_IO_Vuln_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Hållbar

Exempel på frågor

Rapport om den virtuella tenableIO-datorn – alla tillgångar

Tenable_IO_Assets_CL

| sort by TimeGenerated desc

TenableIO VM-rapport – Alla Vulns

Tenable_IO_Vuln_CL

| sort by TimeGenerated desc

Välj unika sårbarheter efter en specifik tillgång.

Tenable_IO_Vuln_CL

| where asset_fqdn_s has "one.one.one.one"

| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d

Välj alla Azure-tillgångar.

Tenable_IO_Assets_CL

| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)

Förutsättningar

Om du vill integrera med Tenable.io Sårbarhetshantering (med hjälp av Azure Function) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • REST API-autentiseringsuppgifter/-behörigheter: Både en TenableAccessKey och en TenableSecretKey krävs för att få åtkomst till REST API:et tenable. Mer information om API finns i dokumentationen. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Durable Functions för att ansluta till Tenable.io-API:et för att hämta tillgångar och sårbarheter med jämna mellanrum till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Kommentar

Den här dataanslutningsappen är beroende av en Tenable.io parser för sårbarheter och en Tenable.io parser för tillgångar baserat på en Kusto-funktion för att fungera som förväntat som distribueras med Microsoft Sentinel-lösningen.

STEG 1 – Konfigurationssteg för Tenable.io

Följ anvisningarna för att hämta nödvändiga API-autentiseringsuppgifter.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionsappen

VIKTIGT: Innan du distribuerar dataanslutningsappen för arbetsytan måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).

Alternativ 1 – Arm-mall (Azure Resource Manager)

Använd den här metoden för automatisk distribution av dataanslutningsappen Tenable.io Vulnerability Management Report med hjälp av en ARM-mall.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

Obs! Inom samma resursgrupp kan du inte blanda Windows- och Linux-appar i samma region. Välj en befintlig resursgrupp utan Windows-appar i den eller skapa en ny resursgrupp. 3. Ange TenableAccessKey och TenableSecretKey och distribuera. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera dataanslutningsappen Tenable.io Vulnerability Management Report manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

Obs! Du måste förbereda VS-kod för Azure-funktionsutveckling.

  1. Ladda ned Azure Function App-filen. Extrahera arkivet till din lokala utvecklingsdator.

  2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

  3. Välj mappen på den översta nivån från extraherade filer.

  4. Välj Azure-ikonen i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Functions. Om du inte redan är inloggad väljer du Azure-ikonen i aktivitetsfältet. I området Azure: Functions väljer du Logga in på Azure Om du redan är inloggad går du till nästa steg.

  5. Ange följande information i meddelanderutorna:

    a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

    b. Välj Prenumeration: Välj den prenumeration som ska användas.

    c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

    d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. TenableIOXXXXX).

    e. Välj en körning: Välj Python 3.8.

    f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

  6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

  7. Gå till Azure-portalen för konfigurationen av funktionsappen.

2. Konfigurera funktionsappen

  1. I funktionsappen väljer du funktionsappens namn och väljer Konfiguration.
  2. På fliken Programinställningar väljer du Ny programinställning.
  3. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (valfritt)
  • Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<WorkspaceID>.ods.opinsights.azure.us. 3. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.