Palo Alto Prisma Cloud CSPM-Connector (mittels Azure Functions) für Microsoft Sentinel
Der Palo Alto Prisma Cloud CSPM-Datenconnector bietet die Möglichkeit, Prisma Cloud CSPM-Benachrichtigungen und Überwachungsprotokolle mithilfe der Prisma Cloud CSPM-API in Microsoft Sentinel zu erfassen. Weitere Informationen hierzu finden Sie in der Dokumentation zur Prisma Cloud CSPM-API.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Prisma Cloud-Benachrichtigungen
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Alle Prisma Cloud-Überwachungsprotokolle
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Palo Alto Prisma Cloud CSPM (mittels Azure Functions) sicher, dass Sie über Folgendes verfügen:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen für die Palo Alto Prisma Cloud-API: Prisma Cloud-API-URL, Prisma Cloud-Zugriffsschlüssel-ID, geheimer Prisma Cloud-Schlüssel sind für die Prisma Cloud-API-Verbindung erforderlich. Weitere Informationen zum Erstellen des Prisma Cloud-Zugriffsschlüssel und zum Abrufen der Prisma Cloud-API-URL finden Sie in der Dokumentation
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Palo Alto Prisma Cloud-REST-API herzustellen, um Protokolle in Microsoft Sentinel zu pullen. Dies könnte zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Daten-Connector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert, damit er wie der erwartete PaloAltoPrismaCloud funktioniert, der mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SCHRITT 1 – Konfiguration der Prisma Cloud
Befolgen Sie die Dokumentation, um den Prisma Cloud-Zugriffsschlüssel zu erstellen und die Prisma Cloud-API-URL zu erhalten
HINWEIS: Verwenden Sie die Rolle SYSTEMADMINISTRATOR, um Zugriff auf die Prisma Cloud-API zu gewähren, da nur die Rolle SYSTEMADMINISTRATOR zum Anzeigen von Prisma Cloud-Überwachungsprotokollen berechtigt ist. Weitere Informationen zu Administratorberechtigungen finden Sie unter Prisma Cloud-Administratorberechtigungen (paloaltonetworks.com).
SCHRITT 2 – Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugeordnete Azure-Funktion bereitzustellen
WICHTIG: Vor der Bereitstellung des Prisma Clout-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können von Folgendem kopiert werden) sowie die Anmeldeinformationen der Prisma Cloud-API bereithalten.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.