適用於 Microsoft Sentinel 的 Holm 安全性資產數據 (使用 Azure Functions) 連接器
連接器提供將 Holm 資訊安全中心的數據輪詢到 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | net_assets_CL web_assets_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Holm 安全性 |
查詢範例
所有低凈資產
net_assets_CL
| where severity_s == 'low'
所有低 Web 資產
web_assets_CL
| where severity_s == 'low'
必要條件
若要與 Holm 安全性資產數據整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Holm 安全性 API 令牌:需要 Holm 安全性 API 令牌。 Holm 安全性 API 令牌
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Holm 安全性資產,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
步驟 1 - Holm 安全性 API 的設定步驟
請遵循這些指示 來建立 API 驗證令牌。
步驟 2 - 使用下列部署選項來部署連接器和相關聯的 Azure 函式
重要事項:部署 Holm 安全性連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及 Holm 安全性 API 授權令牌,可供使用。
Azure Resource Manager (ARM) 範本部署
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法自動部署 Holm 安全性連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 位置。
輸入工作區 標識碼、 工作區密鑰、 API 用戶名稱、 API 密碼、『和/或其他必要欄位』。
注意:如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架構取代字串值。 如需進一步的詳細數據,請參閱 金鑰保存庫 參考檔。 4.將標示為 [我同意上述條款及條件] 的複選框標示。 5.按兩下 [ 購買 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。