Microsoft Sentinel için Tenable.io Güvenlik Açığı Yönetimi (Azure İşlevi kullanarak) bağlayıcısı

  • Makale

Tenable.io veri bağlayıcısı, Tenable.io platformundan (bulutta yönetilen) REST API aracılığıyla Varlık ve Güvenlik Açığı verilerini Microsoft Sentinel'e alma olanağı sağlar. Daha fazla bilgi için API belgelerine bakın. Bağlayıcı, olası güvenlik risklerini incelemeye, bilgi işlem varlıklarınızla ilgili içgörü elde etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan veriler alma olanağı sağlar

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Uygulama ayarları TenableAccessKey
TenableSecretKey
WorkspaceID
WorkspaceKey
logAnalyticsUri (isteğe bağlı)
Azure işlev uygulaması kodu https://aka.ms/sentinel-TenableIO-functionapp
Log Analytics tabloları Tenable_IO_Assets_CL
Tenable_IO_Vuln_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Tenable

Sorgu örnekleri

TenableIO VM Raporu - Tüm Varlıklar

Tenable_IO_Assets_CL

| sort by TimeGenerated desc

TenableIO VM Raporu - Tüm Sanal Makineler

Tenable_IO_Vuln_CL

| sort by TimeGenerated desc

Belirli bir varlığa göre benzersiz güvenlik açıkları seçin.

Tenable_IO_Vuln_CL

| where asset_fqdn_s has "one.one.one.one"

| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d

Tüm Azure varlıklarını seçin.

Tenable_IO_Assets_CL

| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)

Önkoşullar

Tenable.io Güvenlik Açığı Yönetimi (Azure İşlevi kullanarak) ile tümleştirmek için şunlara sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • REST API Kimlik Bilgileri/izinleri: Tenable REST API'sine erişmek için hem TenableAccessKey hem de TenableSecretKey gereklidir. API hakkında daha fazla bilgi edinmek için belgelere bakın. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, varlıkları ve güvenlik açıklarını düzenli aralıklarla Microsoft Sentinel'e çekmek üzere Tenable.io API'sine bağlanmak için Azure Dayanıklı İşlevler kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Not

Bu veri bağlayıcısı, güvenlik açıkları için bir Tenable.io ayrıştırıcısına ve Microsoft Sentinel Çözümü ile dağıtılan Kusto İşlevini temel alan varlıklar için Tenable.io ayrıştırıcısına bağlıdır.

ADIM 1 - Tenable.io için yapılandırma adımları

Gerekli API kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlev Uygulamasını dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: Çalışma Alanı veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği'ne ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

ARM Şablonu kullanarak Tenable.io Güvenlik Açığı Yönetimi Raporu veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. TenableAccessKey ve TenableSecretKey değerlerini girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Tenable.io Güvenlik Açığı Yönetimi Raporu veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örneğin TenableIOXXXXXX).

    e. Çalışma zamanı seçin: Python 3.8'i seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (isteğe bağlı)
  • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<WorkspaceID>.ods.opinsights.azure.us. 3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.