適用於 Microsoft Sentinel 的 Bitsight 資料連接器 (使用 Azure Functions)
BitSight Data Connector 藉由在 Microsoft Sentinel 中引進 BitSight 資料,支援以證據為基礎的網路風險監視。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| Azure 函數應用程式程式碼 | https://aka.ms/sentinel-BitSight-functionapp |
| 記錄分析資料表 | Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | BitSight 支援 |
查詢範例
BitSight 警示事件 - 組合中所有公司的警示事件。
Alerts_data_CL
| sort by TimeGenerated desc
BitSight 缺口事件 - 組合中所有公司的缺口事件。
BitsightBreaches_data_CL
| sort by TimeGenerated desc
BitSight 公司詳細資料事件 - 組合中所有公司的公司詳細資料事件。
BitsightCompany_details_CL
| sort by TimeGenerated desc
BitSight 公司評等事件 - 所有公司的公司評等事件。
BitsightCompany_rating_details_CL
| sort by TimeGenerated desc
BitSight 盡職調查歷史統計資料事件 - 所有公司的盡職調查歷史統計資料事件。
BitsightDiligence_historical_statistics_CL
| sort by TimeGenerated desc
BitSight 盡職調查統計資料事件 - 所有公司的盡職調查統計資料事件。
BitsightDiligence_statistics_CL
| sort by TimeGenerated desc
BitSight 結果事件 - 所有公司的結果事件。
BitsightFindings_data_CL
| sort by TimeGenerated desc
BitSight 結果摘要事件 - 所有公司的結果摘要事件。
BitsightFindings_summary_CL
| sort by TimeGenerated desc
BitSight 圖表事件 - 所有公司的圖表事件。
BitsightGraph_data_CL
| sort by TimeGenerated desc
BitSight 產業統計資料事件 - 所有公司的產業統計資料事件。
BitsightIndustrial_statistics_CL
| sort by TimeGenerated desc
BitSight 觀察統計資料事件 - 所有公司的觀察統計資料事件。
BitsightObservation_statistics_CL
| sort by TimeGenerated desc
必要條件
若要與 Bitsight 資料連接器整合 (使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- REST API 認證/權限:需要 BitSight API 權杖。 請參閱文件以深入了解 API 權杖。
廠商安裝指示
注意
此連接器會使用 Azure Functions,連線至 BitSight API,以將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - 建立/取得 Bitsight API 權杖的步驟
請遵循這些指示來取得 BitSight API 權杖。
- 針對 SPM 應用程式:請參閱 [帳戶] 頁面的 [使用者喜好設定] 索引標籤,移至 [設定] > [帳戶] > [使用者喜好設定] > [API 權杖]。
- 針對 TPRM 應用程式:請參閱 [帳戶] 頁面的 [使用者喜好設定] 索引標籤,移至 [設定] > [帳戶] > [使用者喜好設定] > [API 權杖]。
- 針對傳統 BitSight:移至您的 [帳戶] 頁面,移至 [設定] > [帳戶] > [API 權杖]。
步驟 2 - Microsoft Entra ID 中應用程式的應用程式註冊步驟
此整合需要在 Azure 入口網站中註冊應用程式。 請遵循本節中的步驟,在 Microsoft Entra ID 中建立新的應用程式:
- 登入 Azure 入口網站。
- 搜尋並選取 Microsoft Entra ID。
- 在 [管理] 底下,選取 [應用程式註冊] > [新增註冊]。
- 輸入應用程式的顯示 [名稱]。
- 選取 [註冊] 以完成伺服器初始註冊。
- 註冊完成時,Azure 入口網站會顯示應用程式註冊的 [概觀] 窗格。 您會看到應用程式 (用戶端) 識別碼和租用戶識別碼。 執行 BitSight 資料連接器時,需要用戶端識別碼和租用戶識別碼作為設定參數。
參考連結: /azure/active-directory/develop/quickstart-register-app
步驟 3 - 在 Microsoft Entra ID 中新增應用程式的用戶端密碼
有時稱為應用程式密碼,用戶密碼是執行 BitSight 資料連接器所需的字串值。 請遵循本節中的步驟來建立新的用戶端密碼:
- 在 Azure 入口網站的應用程式註冊中,選取您的應用程式。
- 選取 [憑證和祕密] > [用戶端密碼] > [新增用戶端密碼]。
- 新增用戶端密碼的描述。
- 選取祕密的到期日,或指定自訂存留期。 上限為 24 個月。
- 選取 [新增]。
- 記錄祕密的值,以在用戶端應用程式程式碼中使用。 離開此頁面後,就「不會再次顯示」此祕密值。 執行 BitSight 資料連接器時,需要祕密值作為設定參數。
參考連結: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
步驟 4 - 將參與者的角色指派給 Microsoft Entra ID 中的應用程式
請遵循本節中的步驟來指派角色:
- 在 Azure 入口網站中,移至 [資源群組],然後選取您的資源群組。
- 前往左側面板中的 [存取控制 (IAM)]。
- 按一下 [新增],然後選取 [新增角色指派]。
- 選取 [參與者] 作為角色,然後按 [下一步]。
- 在 [存取權指派對象] 中,選取
User, group, or service principal。 - 按一下 [新增成員],然後輸入您已建立的應用程式名稱並將其選取。
- 現在,按一下 [檢閱 + 指派],然後再按一下 [檢閱 + 指派]。
參考連結: /azure/role-based-access-control/role-assignments-portal
步驟 5 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式
重要事項:在部署 BitSight 資料連接器之前,請準備好可用的工作區識別碼和工作區主要金鑰 (可從以下複製),以及 BitSight API 權杖。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法自動部署 BitSight 連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入下列資訊:
- 函數名稱
- 工作區識別碼
- 工作區金鑰
- API_token
- 公司
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- 記錄層級
- [排程]
- Schedule_Portfolio
選取標示著 [我同意上述條款及條件] 的核取方塊。
按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,利用 Azure Functions (透過 Visual Studio Code 部署) 手動部署 BitSight 資料連接器。
1.部署函數應用程式
注意:您需要針對 Azure 函式開發準備 VS 程式碼 (部分機器翻譯)。
下載 Azure 函數應用程式 (英文) 檔案。 將封存擷取至本機開發電腦。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層的資料夾。
選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中,選擇 [部署至函數應用程式] 按鈕。 如果您尚未登入,請選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中選擇 [登入 Azure] 如果已登入,請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取訂用帳戶:選擇要使用的訂用帳戶。
c. 選取 [在 Azure 中建立新的函數應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如 BitSightXXXXX)。
e. 選取執行階段:選擇 Python 3.8 或更高版本。
f. 選取新資源的位置。 為了獲得更好的效能和更低的成本,請選擇 Microsoft Sentinel 所在的相同區域。
部署即將開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
前往 Azure 入口網站來進行函數應用程式設定。
2.設定函數應用程式
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
- 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
- 個別新增下列每個應用程式設定,以及其各自的值 (區分大小寫):
- 工作區識別碼
- 工作區金鑰
- API_token
- 公司
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- 記錄層級
- [排程]
- Schedule_Portfolio
- 輸入所有應用程式設定之後,請按一下 [儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: