Trasmettere il connettore di sicurezza (usando Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Il connettore trasmetti dati di sicurezza offre la possibilità di inserire eventi comuni di trasmissione API Sicurezza in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la documentazione dell'API. Il connettore consente di ottenere eventi che aiutano a esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Impostazioni delle applicazioni TransmitSecurityClientID
TransmitSecurityClientSecret
TransmitSecurityAdminActivityEndpoint
TransmitSecurityUserActivityEndpoint
TransmitSecurityTokenEndpoint
WorkspaceID
WorkspaceKey
logAnalyticsUri (facoltativo)
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-TransmitSecurityAPI-functionapp
Tabelle Log Analytics TransmitSecurityAdminActivity_CL
TransmitSecurityUserActivity_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Trasmettere la sicurezza

Esempi di query

TransmitSecurityAdminActivity_CL

| sort by TimeGenerated desc

TransmitSecurityUserActivity_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Transmit Security Connector (usando Funzioni di Azure) assicurarsi di avere:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • ID client DELL'API REST: è necessario TransmitSecurityClientID . Per altre informazioni sull'API, vedere la documentazione in https://developer.transmitsecurity.com/.
  • Segreto client DELL'API REST: è necessario TransmitSecurityClientSecret . Per altre informazioni sull'API, vedere la documentazione in https://developer.transmitsecurity.com/.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Sicurezza Di trasmissione per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per la trasmissione API Sicurezza

Seguire le istruzioni per ottenere le credenziali.

  1. Accedere al portale di sicurezza di trasmissione.
  2. Configurare un'app di gestione. Assegnare all'app un nome appropriato, ad esempio MyAzureSentinelCollector.
  3. Salvare le credenziali del nuovo utente per l'uso nel connettore dati.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

Prima di distribuire il connettore di dati Di sicurezza di trasmissione, disporre dell'ID dell'area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore di dati Di controllo della sicurezza di trasmissione usando un modello ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure Deploy to Azure Gov

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

    Non è possibile combinare app Windows e Linux nella stessa area per lo stesso gruppo di risorse. Selezionare un gruppo di risorse esistente che non comprende app di Windows o creare un nuovo gruppo di risorse.

  3. Immettere TransmissionSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityUserActivityEndpoint, TransmitSecurityAdminActivityEndpoint, TransmitSecurityTokenEndpoint e distribuire.

  4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.

  5. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati TransmitSecurity Reports con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'App per le funzioni

Sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.

  1. Scaricare il file App per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare VS Code. Scegliere File nel menu principale quindi selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non si ha ancora effettuato l'accesso, selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure. Se si ha già effettuato l'accesso, andare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Seleziona cartella: scegliere una cartella dall'area di lavoro o selezionarne una che contenga l'app per le funzioni.

    b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova App per le funzioni in Azure (non scegliere l'opzione Avanzata)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure.

    e. Selezionare un runtime: scegliere Python 3.8.

    f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione avrà inizio. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare a portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'App per le funzioni

  1. Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.

  2. Seleziona Variabili di ambiente.

  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori di stringa (maiuscole/minuscole):

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityAdminActivityEndpoint
    • TransmitSecurityUserActivityEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (facoltativo)
    • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

  4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Applica.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.