你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 API 保护连接器
通过 REST API 接口将 42Crunch API 保护连接到 Azure Log Analytics
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | apifirewall_log_1_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | 42Crunch API 保护 |
查询示例
速率受限的 API 请求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
生成服务器错误的 API 请求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
未能通过 JWT 验证的 API 请求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
供应商安装说明
步骤 1:阅读详细文档
GitHub 存储库 Microsoft Sentinel 集成中详细记录了安装过程。 用户应进一步查阅此存储库以了解集成的安装和调试。
步骤 2:检索工作区访问凭据
第一个安装步骤是从 Sentinel 平台检索工作区 ID 和主密钥。 复制如下所示的值并保存这些值,以便配置 API 日志转发器集成。
步骤 3:安装 42Crunch 保护和日志转发器
下一步是安装 42Crunch 保护和日志转发器来保护 API。 这两个组件都可作为 42Crunch 存储库中的容器使用。 具体安装将取决于你的环境,有关完整详细信息,请参阅 42Crunch 保护文档。 下面介绍了两种常见的安装方案:
通过 Docker Compose 安装
可以使用 Docker compose 文件安装解决方案。
通过 Helm 图表安装
可以使用 Helm 图表安装解决方案。
步骤 4:测试数据引入
为了测试数据引入,用户应将示例 httpbin 应用程序与此处详细介绍的 42Crunch 保护和日志转发器一起部署。
4.1 安装示例
可以使用 Docker compose 文件在本地安装示例应用程序,该文件将安装 httpbin API 服务器、42Crunch API 保护和 Sentinel 日志转发器。 使用从步骤 2 复制的值根据需要设置环境变量。
4.2 运行示例
验证 API 保护是否连接到 42Crunch 平台,然后使用 Postman、curl 或类似工具在端口 8080 的 localhost 上本地执行 API。 应会看到传递和失败 API 调用的混合。
4.3 验证 Log Analytics 上的数据引入
大约 20 分钟后,访问 Sentinel 安装上的 Log Analytics 工作区,并找到“自定义日志”部分,验证是否存在 apifirewall_log_1_CL 表。 使用示例查询来检查数据。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。