TheHive Project – TheHive (pomocí Azure Functions) konektor pro Microsoft Sentinel
Datový konektor TheHive poskytuje možnost ingestovat běžné události TheHive do Microsoft Sentinelu prostřednictvím webhooků. TheHive může informovat externí systém událostí úprav (vytvoření případu, aktualizace výstrahy, přiřazení úkolu) v reálném čase. Když dojde ke změně v theHive, požadavek HTTPS POST s informacemi o události se odešle na adresu URL datového konektoru zpětného volání. Další informace najdete v dokumentaci k webhookům. Konektor poskytuje možnost získat události, které pomáhají zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | TheHive_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
TheHive Events - All Activities.
TheHive_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci s Projektem TheHive – TheHive (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Webhooky Přihlašovací údaje a oprávnění: TheHiveBearerToken, adresa URL zpětného volání se vyžaduje pro funkční webhooky. Další informace o konfiguraci webhooků najdete v dokumentaci.
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor používá Azure Functions na základě triggeru HTTP pro čekání požadavků POST s protokoly k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání TheHive , která se nasadí s řešením Microsoft Sentinel.
KROK 1 : Kroky konfigurace pro TheHive
Podle pokynů nakonfigurujte webhooky.
- Metoda ověřování je opatřena ověřováním.
- Vygenerujte TheHiveBearerToken podle zásad hesel.
- Nastavte oznámení Webhooku v souboru application.conf , včetně parametru TheHiveBearerToken .
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru TheHive zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího).
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.