CyberArkAudit (使用 Azure Functions) 連接器 For Microsoft Sentinel
CyberArk 稽核數據連接器提供透過 REST API 擷取 CyberArk 稽核服務的安全性事件記錄檔和更多事件到 Microsoft Sentinel 的功能。 連接器可讓您取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
連線 or 屬性 | 描述 |
---|---|
應用程式設定 | CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (選擇性) |
Azure 函式應用程式程式代碼 | https://aka.ms/sentinel-CyberArkAudit-functionapp |
Log Analytics 數據表(s) | CyberArk_AuditEvents_CL |
數據收集規則支援 | 目前不支援 |
支援者: | CyberArk 支援 |
查詢範例
CyberArk 稽核事件 - 所有活動。
CyberArkAudit
| sort by TimeGenerated desc
必要條件
若要與 CyberArkAudit 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- 稽核 REST API 連線 詳細數據和認證:需要 OauthUsername、OauthPassword、WebAppID、AuditApiKey、IdentityEndpoint 和 AuditApiBaseUrl 來進行 API 呼叫。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Azure Blob 儲存體 API,以將記錄提取至 Microsoft Sentinel。 這可能會導致數據擷取的額外成本,以及將數據儲存在 Azure Blob 儲存體 成本中。 如需詳細資訊,請參閱 Azure Functions 定價頁面,並 Azure Blob 儲存體 定價頁面。
注意
API 授權金鑰或令牌會安全地儲存在 Azure 金鑰保存庫 中。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。
步驟 1 - CyberArk 稽核 SIEM 整合的設定步驟
請依照指示取得連線詳細數據和認證。
- 針對您的 CyberArk 稽核帳戶使用使用者名稱和密碼。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 CyberArk 稽核數據連接器之前,請具有工作區名稱和工作區位置(可從下列內容複製)。
工作區名稱
工作區位置
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法,透過ARM範本自動部署 CyberArk 稽核資料連接器。
注意: 在同一個資源群組內,您無法在同一個區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 3.輸入 CyberArkAuditUsername、CyberArkAuditPassword、CyberArkAuditServerURL 並部署。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。
選項 2 - 手動部署 Azure Functions
使用下列逐步指示,透過 Azure Functions 手動部署 CyberArk 稽核數據連接器(透過 Visual Studio Code 進行部署)。
1.部署函式應用程式
注意: 您必須 準備 VS 程式代碼 以進行 Azure 函式開發。
下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層資料夾。
選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。
c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 CyberArkXXXXX)。
e. 選取運行時間: 選擇 Python 3.8。
f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域 。
部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
移至 Azure 入口網站以取得函式應用程式設定。
2.設定函式應用程式
在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
在 [ 應用程式設定] 索引標籤中,選取 [新增應用程式設定] 。
使用個別的字串值來個別新增下列每個應用程式設定(區分大小寫):
- CyberArkAuditUsername
- CyberArkAuditPassword
- CyberArkAuditServerURL
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (選擇性)
使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us
。輸入所有應用程式設定之後,按兩下 [ 儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。