Conector de Administración de vulnerabilidades de Tenable (mediante Azure Functions) para Microsoft Sentinel
El conector de datos de TVM proporciona la capacidad de ingerir datos de activos y vulnerabilidades en Microsoft Sentinel mediante las API de REST de TVM. Para más información, consulte la documentación de la API. El conector permite obtener datos que ayudan a examinar posibles riesgos de seguridad, obtener información sobre los recursos informáticos, diagnosticar problemas de configuración y mucho más
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Configuración de la aplicación | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (opcional) |
| Código de la aplicación de funciones de Azure | https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp |
| Tabla de Log Analytics | Tenable_VM_Assets_CL Tenable_VM_Vuln_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Tenable |
Ejemplos de consultas
Informe de máquina virtual Tenable: todos los recursos
Tenable_VM_Assets_CL
| sort by TimeGenerated desc
Informe de máquina virtual Tenable: todos los Vulns
Tenable_VM_Vuln_CL
| sort by TimeGenerated desc
Seleccione vulnerabilidades únicas por un recurso específico.
Tenable_VM_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
Seleccione todos los recursos de Azure.
Tenable_VM_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
Requisitos previos
Para realizar la integración con la Administración de vulnerabilidades de Tenable (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Credenciales o permisos de la API REST: se requieren TenableAccessKey y TenableSecretKey para acceder a la API REST de Tenable. Consulte la documentación para obtener más información sobre la API. Compruebe todos los requisitos y siga las instrucciones para obtener credenciales.
Instrucciones de instalación del proveedor
Nota:
Este conector usa Azure Durable Functions para conectarse a la API de TenableVM para extraer recursos y vulnerabilidades a intervalos regulares en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
Nota:
Este conector de datos depende de un analizador de TenableVM para detectar vulnerabilidades y un analizador de TenableVM para los recursos en función de una función de Kusto para que funcione según lo previsto, que se implementa con la solución de Microsoft Sentinel.
PASO 1: pasos de configuración de TenableVM
Siga las instrucciones para obtener las credenciales de API necesarias.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la aplicación de funciones de Azure asociada
Antes de implementar el conector de datos del área de trabajo, tenga a mano el id. y la clave principal del área de trabajo (pueden copiarse de lo siguiente).
Opción 1: Plantilla de Azure Resource Manager (ARM)
Use este método para la implementación automatizada del conector de datos del informe de Administración de vulnerabilidades de TenableVM mediante una plantilla de ARM.
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la Suscripciónpreferida, grupo de recursosy ubicación.
Escriba el TenableAccessKeyy TenableSecretKey e implemente.
Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.
Haga clic en Comprar para iniciar la implementación.
Opción 2: Implementación manual de Azure Functions
Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos del informe de administración de vulnerabilidades de TenableVM con Azure Functions (implementación mediante Visual Studio Code).
1. Implementación de una aplicación de funciones
Deberá preparar VS Code para el desarrollo de funciones de Azure.
Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.
Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.
Seleccione la carpeta de nivel superior de los archivos extraídos.
Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.
Escriba la siguiente información cuando se le indique:
a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.
b. Seleccionar la suscripción: elija la suscripción que desee usar.
c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)
d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, TenableVMXXXXX).
e. Seleccionar un entorno de ejecución: Elija Python 3.11.
f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.
Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.
Vaya a Azure Portal para la configuración de la aplicación de funciones.
2. Configuración de la aplicación de funciones
En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
En la pestaña Configuración de aplicaciones, seleccione Nueva configuración de aplicación.
Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas):
- TenableAccessKey
- TenableSecretKey
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (opcional)
- Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato:
https://<WorkspaceID>.ods.opinsights.azure.us.
Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.