你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Transmit Security Connector(使用 Azure Functions)连接器

Transmit Security 数据连接器可以实现通过 REST API 将常见的 Transmit Security API 事件引入到 Microsoft Sentinel。 请参阅 API 文档了解详细信息。 该连接器提供获取事件的功能,这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
应用程序设置 TransmitSecurityClientID
TransmitSecurityClientSecret
TransmitSecurityAdminActivityEndpoint
TransmitSecurityUserActivityEndpoint
TransmitSecurityTokenEndpoint
WorkspaceID
WorkspaceKey
logAnalyticsUri(可选)
Azure 函数应用代码 https://aka.ms/sentinel-TransmitSecurityAPI-functionapp
Log Analytics 表 TransmitSecurityAdminActivity_CL
TransmitSecurityUserActivity_CL
数据收集规则支持 目前不支持
支持的服务 Transmit Security

查询示例


TransmitSecurityAdminActivity_CL

| sort by TimeGenerated desc

TransmitSecurityUserActivity_CL

| sort by TimeGenerated desc

先决条件

若要(使用 Azure Functions)与 Transmit Security Connector 集成,请确保满足以下条件:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • REST API 客户端 ID:需要 TransmitSecurityClientID。 请参阅 https://developer.transmitsecurity.com/ 上的文档以详细了解 API。
  • REST API 客户端机密:需要 TransmitSecurityClientSecret。 请参阅 https://developer.transmitsecurity.com/ 上的文档以详细了解 API。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Transmit Security API,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - Transmit Security API 的配置步骤

按照说明获取凭据。

  1. 登录到 Transmit Security 门户。
  2. 配置管理应用。 为应用提供合适的名称,例如 MyAzureSentinelCollector。
  3. 保存新用户的凭据,以便在数据连接器中使用。

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

部署 Transmit Security 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法利用 ARM 模板自动部署 Transmit Security Audit 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure 部署到 Azure Gov

  2. 选择首选的“订阅”、“资源组”和“位置”。

    在同一资源组内,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。

  3. 输入 TransmitSecurityClientID、TransmitSecurityClientSecret、TransmitSecurityUserActivityEndpoint、TransmitSecurityAdminActivityEndpoint、TransmitSecurityTokenEndpoint 并部署

  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明,使用 Azure Functions 手动部署 TransmitSecurity Reports 数据连接器(通过 Visual Studio Code 进行部署)。

1. 部署函数应用

需要为 Azure 函数开发准备 VS 代码

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。

  5. 根据提示提供以下信息:

    a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择订阅:选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)

    d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。

    e. 选择运行时:选择 Python 3.8。

    f. 选择新资源的位置。 为了提高性能和降低成本,请选择 Microsoft Sentinel 所在的同一区域

  6. 将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。

  7. 转到 Azure 门户,获取函数应用配置。

2. 配置函数应用

  1. 在函数应用中选择“函数应用名称”,然后选择“配置”。

  2. 选择环境变量

  3. 分别添加以下每个应用程序设置及其各自的字符串值(区分大小写):

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityAdminActivityEndpoint
    • TransmitSecurityUserActivityEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri(可选)
    • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  4. 输入所有应用程序设置后,单击“应用”

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案