你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 的 AbnormalSecurity(使用 Azure Functions)连接器
Abnormal Security 数据连接器提供使用 Abnormal Security Rest API 将威胁和案例日志引入 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
应用程序设置 | SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri(可选)(添加函数应用所需的任何其他设置)将 uri 值设置为:<add uri value> |
Azure 函数应用代码 | https://aka.ms/sentinel-abnormalsecurity-functionapp |
Log Analytics 表 | ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Abnormal Security |
查询示例
所有 Abnormal Security 威胁日志
ABNORMAL_THREAT_MESSAGES_CL
| sort by TimeGenerated desc
所有 Abnormal Security 案例日志
ABNORMAL_CASES_CL
| sort by TimeGenerated desc
先决条件
若要与 AbnormalSecurity(使用 Azure Functions)集成,请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Abnormal Security API 令牌:需要 Abnormal Security API 令牌。 参阅文档以详细了解 Abnormal Security API。 注意:需要 Abnormal Security 帐户
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Abnormal Security 的 REST API,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
步骤 1 - Abnormal Security API 的配置步骤
按照 Abnormal Security 提供的这些说明配置 REST API 集成。 注意:需要 Abnormal Security 帐户
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:在部署 Abnormal Security 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)以及 Abnormal Security API 授权令牌。
选项 1 - Azure 资源管理器 (ARM) 模板
此方法使用 ARM 模板自动部署 Abnormal Security 连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入“Microsoft Sentinel 工作区 ID”、“Microsoft Sentinel 共享密钥”和“Abnormal Security REST API 密钥”。
- 默认“时间间隔”设置为拉取过去 5 分钟的数据。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器(部署后在 function.json 文件中),以防数据引入重叠。
- 选中“我同意上述条款和条件”复选框。
- 单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
按照以下分步说明,使用 Azure Functions 手动部署 Abnormal Security 数据连接器(通过 Visual Studio Code 进行部署)。
1. 部署函数应用
注意:需要为 Azure 函数开发准备 VS 代码。
下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。
从提取的文件中选择顶级文件夹。
在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。
根据提示提供以下信息:
a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。
b. 选择订阅:选择要使用的订阅。
c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)
d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 AbnormalSecurityXX)。
e. 选择运行时:选择 Python 3.8。
f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域。
将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。
转到 Azure 门户,获取函数应用配置。
2. 配置函数应用
- 在函数应用中选择“函数应用名称”,然后选择“配置”。
- 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
- 分别添加以下每个应用程序设置及其各自的字符串值(区分大小写):SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri(可选)(添加函数应用所需的任何其他设置)将
uri
值设置为:<add uri value>
注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架构来取代字符串值。 有关更多详细信息,请参阅 Azure 密钥保管库参考文档。
- 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:
https://<CustomerId>.ods.opinsights.azure.us.
- 输入所有应用程序设置后,单击“保存”。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。