Microsoft Sentinel için Rubrik Security Cloud veri bağlayıcısı (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Rubrik Security Cloud veri bağlayıcısı, güvenlik operasyonları ekiplerinin Rubrik'in Veri Gözlemlenebilirliği hizmetlerinden edinmiş olduğu içgörüleri Microsoft Sentinel ile tümleştirmesini sağlar. İçgörüler fidye yazılımı ve toplu silme ile ilişkili anormal dosya sistemi davranışını belirlemeyi, fidye yazılımı saldırısının patlama yarıçapını değerlendirmeyi ve olası olayları önceliklendirmek ve daha hızlı araştırmak için hassas veri işleçlerini içerir.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Azure işlev uygulaması kodu https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics tabloları Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Rubrik

Sorgu örnekleri

Rubrik Anomali Olayları - Tüm önem derecesi türleri için Anomali Olayları.

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik Ransomware Analiz Olayları - Tüm önem derecesi türleri için Fidye Yazılımı Analizi Olayları.

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik ThreatHunt Olayları - Tüm önem derecesi türleri için Tehdit Avı Olayları.

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

Önkoşullar

Rubrik Security Cloud veri bağlayıcısı ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e gönderen Rubrik web kancasına bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Rubrik Microsoft Sentinel veri bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'nı (aşağıdakilerden kopyalanabilir) kullanıma hazır hale...

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Rubrik bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Aşağıdaki bilgileri girin: İşlev Adı Çalışma Alanı Kimliği Çalışma Alanı Anahtarı Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Rubrik Microsoft Sentinel veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin, RubrikXXXXXX).

    e. Çalışma zamanı seçin: Python 3.8 veya üzerini seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini ilgili değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (isteğe bağlı)
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.
  1. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Dağıtım sonrası adımları

  1. İşlev uygulaması uç noktasını alma
  1. Azure işlevine Genel Bakış sayfasına gidin ve "İşlevler" sekmesine tıklayın.
  2. "RubrikHttpStarter" adlı işleve tıklayın.
  3. "GetFunctionurl" bölümüne gidin ve işlev URL'sini kopyalayın.
  1. Microsoft Sentinel'e veri göndermek için RubrikSecurityCloud'a bir web kancası ekleyin.

Fidye Yazılımı Anomalileri ile ilgili olay bilgilerini almaya başlamak için Rubrik Kullanıcı Kılavuzu yönergelerini izleyerek Web Kancası Ekleme

  1. Web kancası Sağlayıcısı olarak Genel'i seçin (Bu işlem CEF biçimli olay bilgilerini kullanır)
  2. Kopyalanan function-url'deki URL bölümünü web kancası URL uç noktası olarak girin ve Rubrik Microsoft Sentinel Çözümü için {functionname}yerine "RubrikAnomalyOrchestrator" yazın
  3. Gelişmiş veya Özel Kimlik Doğrulaması seçeneğini belirleyin
  4. HTTP üst bilgisi olarak x-functions-key girin
  5. HTTP değeri olarak İşlev erişim anahtarını (kopyalanan işlev url'sinden kod parametresinin değeri) girin (Not: Gelecekte Microsoft Sentinel'de bu işlev erişim anahtarını değiştirirseniz bu web kancası yapılandırmasını güncelleştirmeniz gerekir)
  6. EventType'ı Anomali olarak seçin
  7. Aşağıdaki önem düzeylerini seçin: Kritik, Uyarı, Bilgilendiren
  8. Fidye Yazılımı Araştırma Analizi ve Tehdit Avı için web kancaları eklemek için aynı adımları yineleyin.

NOT: Fidye Yazılımı Araştırma Analizi ve Tehdit Avı için web kancaları eklerken kopyalanan işlev url'sinde {functionname}yerine sırasıyla "RubrikRansomwareOrchestrator" ve "RubrikThreatHuntOrchestrator" yazın.

Artık rubrik Web kancası yapılandırmasıyla işimiz bitti. Web kancası olayları tetikledikten sonra, Rubrik'ten Anomali, Fidye Yazılımı Araştırma Analizi, Tehdit Avı olaylarını "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" adlı ilgili LogAnalytics çalışma alanı tablosunda görebilmeniz gerekir.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.