適用於 Microsoft Sentinel 的 Palo Alto Prisma Cloud CSPM (使用 Azure Functions) 連接器
Palo Alto Prisma Cloud CSPM 數據連接器可讓您使用 Prisma Cloud CSPM API 將 Prisma Cloud CSPM 警示和稽核記錄擷取至 Microsoft sentinel。 如需詳細資訊,請參閱 Prisma Cloud CSPM API 檔。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
所有 Prisma 雲端警示
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
所有 Prisma 雲端稽核記錄
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
必要條件
若要與 Palo Alto Prisma Cloud CSPM 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Palo Alto Prisma 雲端 API 認證: Prisma 雲端 API URL、 Prisma 雲端存取密鑰標識碼、 Prisma Cloud Secret Key 是 Prisma 雲端 API 連線的必要專案。 請參閱檔以深入瞭解 如何建立 Prisma 雲端存取金鑰 和 取得 Prisma 雲端 API URL
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Palo Alto Prisma Cloud REST API,以將記錄提取至 Microsoft sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
注意
此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期般運作使用 Microsoft sentinel 解決方案部署的 PaloAltoPrismaCloud。
步驟 1 - 設定 Prisma 雲端
請遵循檔來 建立 Prisma 雲端存取金鑰 並 取得 Prisma 雲端 API URL
注意:請使用 SYSTEM ADMIN 角色來授與 Prisma 雲端 API 的存取權,因為只允許 SYSTEM ADMIN 角色檢視 Prisma 雲端稽核記錄。 如需系統管理員許可權的詳細資訊,請參閱 Prisma Cloud 管理員 istrator 許可權(paloaltonetworks.com)。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Prisma Cloud 數據連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製),以及 Prisma 雲端 API 認證,可供立即使用。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。