Соединитель Vectra XDR (с помощью Функции Azure) для Microsoft Sentinel

Соединитель Vectra XDR предоставляет возможность приема обнаружения Vectra, аудита, оценки сущностей, блокировки и работоспособности данных в Microsoft Sentinel через REST API Vectra. Дополнительные сведения см. в документации https://support.vectra.ai/s/article/KB-VS-1666 по API.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Код приложения-функции Azure https://aka.ms/sentinel-VectraXDR-functionapp
Псевдоним функции Kusto VectraDetections
URL-адрес функции Kusto https://aka.ms/sentinel-VectraDetections-parser
Таблицы Log Analytics Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Поддержка Vectra

Примеры запросов

События обнаружения Vectra — все события обнаружения.

Detections_Data_CL

| sort by TimeGenerated desc

События аудита Vectra — все события аудита.

Audits_Data_CL

| sort by TimeGenerated desc

События оценки сущностей Vectra — все события оценки сущностей.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

События блокировки Vectra — все события блокировки.

Lockdown_Data_CL

| sort by TimeGenerated desc

События работоспособности Vectra — все события работоспособности.

Health_Data_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Vectra XDR (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API: идентификатор клиента Vectra и секрет клиента необходимы для сбора данных о работоспособности, оценке сущностей, обнаружении, блокировке и сборе данных аудита. Дополнительные сведения об API см. в https://support.vectra.ai/s/article/KB-VS-1666документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к API Vectra для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Примечание.

Правильная работа этого соединителя данных зависит от средства синтаксического анализа на основе функции Kusto. Выполните следующие действия для средства синтаксического анализа обнаружения, аудита синтаксического анализа, оценки сущностей, блокировки синтаксического анализа и синтаксического анализа работоспособности Kusto, чтобы создать псевдоним функций Kusto, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown и VectraHealth.

ШАГ 1. Действия по настройке учетных данных API Vectra

Следуйте этим инструкциям, чтобы создать идентификатор клиента Vectra и секрет клиента.

  1. Войдите на портал Vectra
  2. Переход к управлению клиентами> API
  3. На странице "Клиенты API" выберите "Добавить клиент API", чтобы создать новый клиент.
  4. Добавьте имя клиента, выберите роль и щелкните "Создать учетные данные", чтобы получить учетные данные клиента.
  5. Обязательно запишите идентификатор клиента и секретный ключ для безопасного хранения. Эти два фрагмента информации потребуются для получения маркера доступа из API Vectra. Маркер доступа необходим для выполнения запросов ко всем конечным точкам API Vectra.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных Vectra укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего) легко доступны.., а также учетные данные авторизации API Vectra

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Vectra.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите следующие сведения:

    • Имя функции
    • Идентификатор рабочей области
    • Ключ рабочей области
    • Базовый URL-адрес Vectra https://<vectra-portal-url>
    • Идентификатор клиента Vectra — работоспособности
    • Секретный ключ клиента Vectra — работоспособности
    • Идентификатор клиента Vectra — оценка сущностей
    • Секрет клиента Vectra — оценка сущностей
    • Идентификатор клиента Vectra — обнаружения
    • Секрет клиента Vectra — обнаружения
    • Идентификатор клиента Vectra — аудиты
    • Секрет клиента Vectra — аудиты
    • Идентификатор клиента Vectra — блокировка
    • Секрет клиента Vectra — блокировка
    • StartTime (в формате MM/DD/ГГГГ HH:MM:SS)
    • Аудит имени таблицы
    • Имя таблицы обнаружения
    • Имя таблицы оценки сущностей
    • Имя таблицы блокировки
    • Имя таблицы работоспособности
    • Уровень журнала (по умолчанию: INFO)
    • Расписание блокировки
    • Расписание работоспособности
    • Расписание обнаружения
    • Расписание аудита
    • Расписание оценки сущностей
  4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

  5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных Vectra вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

  1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

  2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

  3. Выберите папку верхнего уровня из извлеченных файлов.

  4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

  5. Введите следующие сведения по соответствующим запросам:

    a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

    b. Выберите подписку: выберите используемую подписку.

    c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

    d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, VECTRAXXXXXX).

    д) Выберите среду выполнения: выберите Python 3.8 или более поздней версии.

    f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

  6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

  7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

  1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
  2. На вкладке Параметры приложения выберите +Новый параметр приложения.
  3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра):
    • Идентификатор рабочей области
    • Ключ рабочей области
    • Базовый URL-адрес Vectra https://<vectra-portal-url>
    • Идентификатор клиента Vectra — работоспособности
    • Секретный ключ клиента Vectra — работоспособности
    • Идентификатор клиента Vectra — оценка сущностей
    • Секрет клиента Vectra — оценка сущностей
    • Идентификатор клиента Vectra — обнаружения
    • Секрет клиента Vectra — обнаружения
    • Идентификатор клиента Vectra — аудиты
    • Секрет клиента Vectra — аудиты
    • Идентификатор клиента Vectra — блокировка
    • Секрет клиента Vectra — блокировка
    • StartTime (в формате MM/DD/ГГГГ HH:MM:SS)
    • Аудит имени таблицы
    • Имя таблицы обнаружения
    • Имя таблицы оценки сущностей
    • Имя таблицы блокировки
    • Имя таблицы работоспособности
    • Уровень журнала (по умолчанию: INFO)
    • Расписание блокировки
    • Расписание работоспособности
    • Расписание обнаружения
    • Расписание аудита
    • Расписание оценки сущностей
    • logAnalyticsUri (необязательно)
  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us
  1. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.