Connettore AnomaloSecurity (con Funzioni di Azure) per Microsoft Sentinel

Il connettore dati di sicurezza anomala offre la possibilità di inserire i log delle minacce e dei casi in Microsoft Sentinel usando l'API REST di sicurezza anomala.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Impostazioni delle applicazioni SENTINEL_WORKSPACE_ID
SENTINEL_SHARED_KEY
ABNORMAL_SECURITY_REST_API_TOKEN
logAnalyticsUri (facoltativo)(aggiungere eventuali altre impostazioni richieste dall'app per le funzioni)Impostare il uri valore su: <add uri value>
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-abnormalsecurity-functionapp
Tabelle Log Analytics ABNORMAL_THREAT_MESSAGES_CL
ABNORMAL_CASES_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Sicurezza anomala

Esempi di query

Tutti i log delle minacce per la sicurezza anomale

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

Tutti i log dei casi di sicurezza anomali

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con AbnormalSecurity (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API REST di Sicurezza anomala per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

PASSAGGIO 1 - Passaggi di configurazione per l'API Sicurezza anomalo

Seguire queste istruzioni fornite da Sicurezza anomala per configurare l'integrazione dell'API REST. Nota: è necessario un account di sicurezza anomalo

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati di sicurezza anomala, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue), nonché il token di autorizzazione API Sicurezza anomalo, immediatamente disponibile.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Questo metodo fornisce una distribuzione automatica del connettore di sicurezza anomala usando un modello di Resource Manager.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere l'ID dell'area di lavoro di Microsoft Sentinel, la chiave condivisa di Microsoft Sentinel e la chiave API REST di sicurezza anomala.

  • L'Intervallo di tempo predefinito è impostato per eseguire il pull degli ultimi cinque (5) minuti di dati. Se è necessario modificare l'intervallo di tempo, è consigliabile modificare il trigger Timer dell'App per le funzioni come pertinente (nel file di function.json post-distribuzione) per impedire la sovrapposizione dell'inserimento di dati.
  1. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.
  2. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati di sicurezza anomala con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'App per le funzioni

NOTA: sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.

  1. Scaricare il file App per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare VS Code. Scegliere File nel menu principale quindi selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non si ha ancora effettuato l'accesso, selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure. Se si ha già effettuato l'accesso, andare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Seleziona cartella: scegliere una cartella dall'area di lavoro o selezionarne una che contenga l'app per le funzioni.

    b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova App per le funzioni in Azure (non scegliere l'opzione Avanzata)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio, AnomaloSecurityXX).

    e. Selezionare un runtime: scegliere Python 3.11.

    f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione avrà inizio. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Andare al portale di Azure per la configurazione dell'App per le funzioni.

2. Configurare l'App per le funzioni

  1. Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (facoltativo) (aggiungere eventuali altre impostazioni richieste dall'app per le funzioni) Impostare il uri valore su: <add uri value>

Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema@Microsoft.KeyVault(SecretUri={Security Identifier})al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Azure Key Vault.

  • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.
  1. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.