Conector API Protection para Microsoft Sentinel

Conecta API Protection de 42Crunch a Azure Log Analytics a través de la interfaz de la API REST.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics apifirewall_log_1_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con API Protection de 42Crunch

Ejemplos de consultas

Solicitudes de API limitadas por velocidad

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Solicitudes de API que generan un error de servidor

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Solicitudes de API con errores de validación de JWT

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Instrucciones de instalación del proveedor

Paso 1: Leer la documentación detallada

El proceso de instalación se documenta con gran detalle en la integración de Microsoft Sentinel del repositorio de GitHub. El usuario debe consultar este repositorio para comprender la instalación y depuración de la integración.

Paso 2: Recuperar las credenciales de acceso al área de trabajo

El primer paso de instalación es recuperar tanto el id. del área de trabajo y clave principal de la plataforma Microsoft Sentinel. Copie los valores que se muestran a continuación y guárdelos para la configuración de la integración del reenviador de registros de API.

Paso 3: Instalar la protección de 42Crunch y el reenviador de registros

El siguiente paso es instalar la protección de 42Crunch y el reenviador de registros para proteger la API. Ambos componentes están disponibles como contenedores en el repositorio 42Crunch. La instalación exacta depende de su entorno, consulte la documentación de protección de 42Crunch para obtener detalles completos. A continuación se describen dos escenarios de instalación comunes:

Instalación a través de Docker Compose

La solución se puede instalar mediante un archivo de Docker Compose.

Instalación mediante gráficos de Helm

La solución se puede instalar mediante un gráfico de Helm.

Paso 4: Probar la ingesta de datos

Para probar la ingesta de datos, el usuario debe implementar la aplicación httpbin de ejemplo junto con la protección de 42Crunch y el reenviador de registros que se describen en detalle aquí.

4.1 Instalar el ejemplo

La aplicación de ejemplo se puede instalar localmente mediante un archivo de Docker Compose que instala el servidor de API httpbin, API Protection de 42Crunch y el reenviador de registros de Microsoft Sentinel. Establezca las variables de entorno según sea necesario mediante los valores copiados del paso 2.

4.2. Ejecutar el ejemplo

Compruebe que la protección de la API esté conectada a la plataforma de 42Crunch y, a continuación, ejecute la API localmente en localhost en el puerto 8080 mediante curl o similar. Debería ver una combinación de llamadas API que se superan y producen errores.

4.3 Comprobar la ingesta de datos en Log Analytics

Después de aproximadamente 20 minutos, acceda al área de trabajo de Log Analytics en la instalación de Microsoft Sentinel y busque la sección Registros personalizados para comprobar que existe una tabla apifirewall_log_1_CL. Use las consultas de ejemplo para examinar los datos.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.