Conector Palo Alto Prisma Cloud CSPM (usando o Azure Functions) para Microsoft Sentinel
O conector de dados Palo Alto Prisma Cloud CSPM oferece a capacidade de ingerir alertas e logs de auditoria do Prisma Cloud CSPM no sentinel da Microsoft usando a API do Prisma Cloud CSPM. Consulte a documentação da API do Prisma Cloud CSPM para obter mais informações.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Todos os alertas do Prisma Cloud
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Todos os logs de auditoria do Prisma Cloud
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Palo Alto Prisma Cloud CSPM (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais da API do Palo Alto Prisma Cloud: URL da API do Prisma Cloud, ID da chave de acesso do Prisma Cloud, Chave secreta do Prisma Cloud são necessárias para a conexão da API do Prisma Cloud. Consulte a documentação para saber mais sobre como criar a chave de acesso do Prisma Cloud e sobre como obter o URL da API do Prisma Cloud
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar à API REST do Palo Alto Prisma Cloud para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado PaloAltoPrismaCloud , que é implantado com a solução sentinel da Microsoft.
PASSO 1 - Configuração do Prisma Cloud
Siga a documentação para criar o Prisma Cloud Access Key e obter o Prisma Cloud API Url
NOTA: Use a função SYSTEM ADMIN para dar acesso à API do Prisma Cloud, pois apenas a função SYSTEM ADMIN tem permissão para visualizar os logs de auditoria do Prisma Cloud. Consulte Permissões de administrador do Prisma Cloud (paloaltonetworks.com) para obter mais detalhes sobre as permissões de administrador.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector de dados do Prisma Cloud, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (que podem ser copiados do seguinte), bem como as credenciais da API do Prisma Cloud, prontamente disponíveis.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.