Share via

TheHive Project - Microsoft Sentinel için TheHive (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

TheHive veri bağlayıcısı, Yaygın TheHive olaylarını Web Kancaları aracılığıyla Microsoft Sentinel'e alma özelliği sağlar. TheHive, değişiklik olaylarını (servis talebi oluşturma, uyarı güncelleştirmesi, görev ataması) gerçek zamanlı olarak dış sisteme bildirebilir. TheHive'de bir değişiklik gerçekleştiğinde, bir geri çağırma veri bağlayıcısı URL'sine olay bilgilerini içeren bir HTTPS POST isteği gönderilir. Daha fazla bilgi için Web kancaları belgelerine bakın . Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan olayları alma olanağı sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları TheHive_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

TheHive Olayları - Tüm Etkinlikler.

TheHive_CL

| sort by TimeGenerated desc

Önkoşullar

TheHive Project - TheHive ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Web Kancaları Kimlik Bilgileri/izinleri: Çalışan Web Kancaları için TheHiveBearerToken, Geri Çağırma URL'si gereklidir. Web kancalarını yapılandırma hakkında daha fazla bilgi edinmek için belgelere bakın.

Satıcı yükleme yönergeleri

Not

Bu veri bağlayıcısı, günlüklerini Microsoft Sentinel'e çekmek üzere günlükleri olan POST isteklerini beklemek için HTTP Tetikleyicisi temelinde Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Not

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan Beklenen TheHive işlevinin çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

ADIM 1 - TheHive için yapılandırma adımları

Web Kancalarını yapılandırmak için yönergeleri izleyin.

  1. Kimlik doğrulama yöntemi Beared Auth'dır.
  2. Parola ilkenize göre TheHiveBearerToken'ı oluşturun.
  3. Application.conf dosyasında TheHiveBearerToken parametresini içeren Web kancası bildirimlerini ayarlayın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: TheHive veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına sahip olun (aşağıdakilerden kopyalanabilir).

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.