Соединитель оповещений Armis (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель оповещений Armis предоставляет возможность приема оповещений Armis в Microsoft Sentinel через REST API Armis. Дополнительные сведения см. в документации https://<YourArmisInstance>.armis.com/api/v1/docs по API. Соединитель предоставляет возможность получать сведения об оповещениях из платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Код приложения-функции Azure https://aka.ms/sentinel-ArmisAlertsAPI-functionapp
Псевдоним функции Kusto ArmisAlerts
URL-адрес функции Kusto https://aka.ms/sentinel-ArmisAlertsAPI-parser
Таблицы Log Analytics Armis_Alerts_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Armis Corporation

Примеры запросов

События оповещений Armis — все действия оповещений.

Armis_Alerts_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с оповещениями Armis (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API: требуется секретный ключ Armis. Дополнительные сведения об API см. в документации https://<YourArmisInstance>.armis.com/api/v1/doc

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Armis для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Примечание.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия , чтобы создать псевдоним функций Kusto, ArmisAlerts

ШАГ 1. Действия по настройке API Armis

Следуйте этим инструкциям, чтобы создать секретный ключ API Armis.

  1. Вход в экземпляр Armis
  2. Переход к параметрам —> Управление API
  3. Если секретный ключ еще не создан, нажмите кнопку "Создать", чтобы создать секретный ключ
  4. Чтобы получить доступ к секретному ключу, нажмите кнопку "Показать"
  5. Теперь секретный ключ можно скопировать и использовать во время настройки соединителя оповещений Armis

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных оповещений Armis укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего) легко доступны.., а также ключи авторизации API Armis.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Armis.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure Развернуть в Azure Gov

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите следующие сведения:

    • Имя функции
    • Идентификатор рабочей области
    • Ключ рабочей области
    • Секретный ключ Armis
    • URL-адрес Armis https://<armis-instance>.armis.com/api/v1/
    • Имя таблицы оповещений Armis
    • Расписание Armis
    • Избегайте дубликатов (по умолчанию: true)

  4. Пометьте флажок, помеченный как я согласен с условиями, указанными выше.

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных оповещений Armis вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

  1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

  2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

  3. Выберите папку верхнего уровня из извлеченных файлов.

  4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

  5. Введите следующие сведения по соответствующим запросам:

    a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

    b. Выберите подписку: выберите используемую подписку.

    c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

    d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, ARMISXXXXXX).

    д) Выберите среду выполнения: выберите Python 3.8 или более поздней версии.

    f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

  6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

  7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
  2. На вкладке Параметры приложения выберите +Новый параметр приложения.
  3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра):
    • Идентификатор рабочей области
    • Ключ рабочей области
    • Секретный ключ Armis
    • URL-адрес Armis https://<armis-instance>.armis.com/api/v1/
    • Имя таблицы оповещений Armis
    • Расписание Armis
    • Избегайте дубликатов (по умолчанию: true)
    • logAnalyticsUri (необязательно)
  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us
  1. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.