Share via

Microsoft Sentinel için Armis Etkinlikleri (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Armis Etkinlikleri bağlayıcısı, Armis REST API aracılığıyla Armis cihaz Etkinliklerini Microsoft Sentinel'e alma özelliği sağlar. Daha fazla bilgi için API belgelerine https://<YourArmisInstance>.armis.com/api/v1/doc bakın. Bağlayıcı, Armis platformundan cihaz etkinlik bilgilerini alma olanağı sağlar. Armis, herhangi bir aracı dağıtmak zorunda kalmadan cihazları bulmak ve tanımlamak için mevcut altyapınızı kullanır. Armis, tüm cihazların ortamınızda ne yaptığını algılar ve cihaz davranışının tam bir resmini elde etmek için bu etkinlikleri sınıflandırır. Bu etkinlikler normal ve anormal cihaz davranışını anlamak için analiz edilir ve cihaz ve ağ riskini değerlendirmek için kullanılır.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Azure işlev uygulaması kodu https://aka.ms/sentinel-ArmisActivitiesAPI-functionapp
Log Analytics tabloları Armis_Activities_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Armis Corporation

Sorgu örnekleri

Armis Etkinlik Olayları - Tüm Etkinlikler Etkinlikleri.

Armis_Activities_CL

| sort by TimeGenerated desc

Önkoşullar

Armis Etkinlikleri ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • REST API Kimlik Bilgileri/izinleri: Armis Gizli Anahtarı gereklidir. API hakkında daha fazla bilgi edinmek için belgelere bakın https://<YourArmisInstance>.armis.com/api/v1/doc

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere Armis API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

NOT: Bu veri bağlayıcısı, çözümün bir parçası olarak dağıtılan kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. İşlev kodunu Log Analytics'te görüntülemek için Log Analytics/Microsoft Sentinel Günlükleri dikey penceresini açın, İşlevler'e tıklayın, ArmisActivities diğer adını arayın ve işlev kodunu yükleyin veya buraya tıklayın. Çözümün yüklenmesi/güncelleştirildikten sonra işlevin etkinleştirilmesi genellikle 10-15 dakika sürer.

ADIM 1 - Armis API'sinin yapılandırma adımları

Armis API gizli anahtarı oluşturmak için bu yönergeleri izleyin.

  1. Armis örneğinizde oturum açın
  2. Ayarlar -> API Management'a gidin
  3. Gizli anahtar henüz oluşturulmamışsa, gizli anahtarı oluşturmak için Oluştur düğmesine basın
  4. Gizli anahtara erişmek için Göster düğmesine basın
  5. Gizli anahtar artık Armis Etkinlikleri bağlayıcı yapılandırması sırasında kopyalanabilir ve kullanılabilir

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Armis Etkinlikleri veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nın (aşağıdakilerden kopyalanabilir) yanı sıra Armis API Yetkilendirme Anahtarı(lar) da kullanılabilir...

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Armis bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a DağıtAzure Kamu’ya dağıtma

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki bilgileri girin:

    • İşlev Adı
    • Çalışma Alanı Kimliği
    • Çalışma Alanı Anahtarı
    • Armis Gizli Anahtarı
    • Armis URL'si https://<armis-instance>.armis.com/api/v1/
    • Armis Etkinlik Tablosu Adı
    • Armis Zamanlaması
    • Yinelenenleri Önleme (Varsayılan: false)

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Armis Etkinliği veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, ARMISXXXXXX).

    e. Çalışma zamanı seçin: Python 3.8 veya üzerini seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin:
    • Çalışma Alanı Kimliği
    • Çalışma Alanı Anahtarı
    • Armis Gizli Anahtarı
    • Armis URL'si https://<armis-instance>.armis.com/api/v1/
    • Armis Etkinlik Tablosu Adı
    • Armis Zamanlaması
    • Yinelenenleri Önleme (Varsayılan: false)
    • logAnalyticsUri (isteğe bağlı)
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
  1. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.