Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги по развертыванию каждого соединителя.
Важно!
- Обратите внимание, что соединители данных Microsoft Sentinel сейчас находятся в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
- После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender. Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуем начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.
Соединители данных доступны в рамках следующих предложений:
Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе со связанным содержимым, таким как правила аналитики, книги и сборники схем. Дополнительные сведения см. в каталоге решений Microsoft Sentinel.
Соединители сообщества. Дополнительные соединители данных предоставляются сообществом Microsoft Sentinel, и их можно найти в Azure Marketplace. За документацию по соединителям данных сообщества отвечает организация, создающая соединитель.
Настраиваемые соединители. Если у вас есть источник данных, который не указан в списке или не поддерживается в настоящее время, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в разделе Ресурсы для создания Microsoft Sentinel настраиваемых соединителей.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.
Предварительные требования для соединителя данных
Каждый соединитель данных имеет собственный набор предварительных требований. Предварительные требования могут включать наличие определенных разрешений для рабочей области Azure, подписки или политики. Кроме того, может потребоваться выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.
Предварительные требования для каждого соединителя данных перечислены в этой статье и на соответствующей странице соединителя данных в Microsoft Sentinel.
соединителям данных на основе агента мониторинга (AMA) Azure требуется подключение к Интернету из системы, в которой установлен агент. Включите исходящий порт 443, чтобы разрешить подключение между системой, в которой установлен агент, и Microsoft Sentinel.
Соединители системного журнала и общего формата событий (CEF)
Сбор журналов со многих устройств и устройств безопасности поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в статье Прием сообщений системного журнала и CEF для Microsoft Sentinel с помощью агента мониторинга Azure. Эти шаги включают установку решения Microsoft Sentinel для (модуль) безопасности или устройства из Центра содержимого в Microsoft Sentinel. Затем настройте системный журнал через AMA или общий формат событий (CEF) через соединитель данных AMA, подходящий для установленного решения Microsoft Sentinel. Завершите настройку, настроив устройство безопасности или (модуль). Инструкции по настройке устройства безопасности или (модуль) см. в одной из следующих статей:
- CEF через соединитель данных AMA— настройка определенных (модуль) или устройства для приема данных Microsoft Sentinel
- Системный журнал через соединитель данных AMA— настройка определенного (модуль) или устройства для приема данных Microsoft Sentinel
Обратитесь к поставщику решений для получения дополнительных сведений или о том, где сведения недоступны для (модуль) или устройства.
Пользовательские журналы через соединитель AMA
Фильтрация и прием журналов в текстовом формате из сетевых приложений или приложений безопасности, установленных на компьютерах с Windows или Linux, с помощью соединителя Пользовательские журналы через AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:
- Сбор журналов из текстовых файлов с помощью агента мониторинга Azure и прием Microsoft Sentinel
- Пользовательские журналы через соединитель данных AMA— настройка приема данных для Microsoft Sentinel из определенных приложений
соединители данных Sentinel
Примечание.
В следующей таблице перечислены соединители данных, доступные в центре содержимого Microsoft Sentinel. Соединители поддерживаются поставщиком продукта. Сведения о поддержке см. по ссылке Поддерживаемые .
Совет
Список таблиц, попадающих в Microsoft Sentinel, и соединителей, которые их приемывают, см. в разделе Microsoft Sentinel таблиц и связанных соединителей.
1Password (бессерверный)
Поддерживается:1Password
Соединитель CCF 1Password позволяет пользователю принимать события 1Password Audit, Signin & ItemUsage в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OnePasswordEventLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Токен API 1Пароль. Требуется маркер API 1Password. Сведения о создании маркера API см. в документации по 1Password .
Инструкции по настройке:
ШАГ 1. Создание маркера API 1Password:
Инструкции по этому шагу см. в документации по 1Password .
ШАГ 2. Выберите правильный базовый URL-адрес:
Существует несколько серверов 1Password, на которых могут размещаться события. Правильный сервер зависит от вашей лицензии и региона. Следуйте документации по 1Password , чтобы выбрать правильный сервер. Введите базовый URL-адрес, отображаемый в документации (включая "https://" и без конечного "/").
ШАГ 3. Введите сведения о 1Password:
Введите базовый URL-адрес 1Password & токена API ниже:
- Базовый URL-адрес: (введите базовый URL-адрес)
- Токен API: (введите маркер API)
- Включение и отключение подключения
1Password (с помощью Функции Azure)
Поддерживается:1Password
Решение 1Password для Microsoft Sentinel позволяет принимать попытки входа, использование элементов и события аудита из учетной записи 1Password Business с помощью API отчетов о событиях 1Password. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel наряду с другими приложениями и службами, которые использует ваша организация.
Используемые базовые технологии Майкрософт:
Это решение зависит от следующих технологий, некоторые из которых могут находиться в состоянии предварительной версии или нести дополнительные затраты на прием или эксплуатацию:
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OnePasswordEventLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- 1 Токен API событийПароль. Требуется маркер API событий 1Password. Дополнительные сведения см. в разделе API 1Password.
Примечание: Требуется учетная запись 1Password Business
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к 1Password для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных из Azure. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке ДЛЯ API отчетов о событиях 1Password
Следуйте этим инструкциям , предоставленным 1Password, чтобы получить маркер API отчетов о событиях. Примечание: Требуется учетная запись 1Password Business
ШАГ 2. Развертывание функцииApp с помощью кнопки DeployToAzure для создания таблицы, dcr и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя 1Password необходимо создать пользовательскую таблицу.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя 1Password с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области, имя рабочей области, ключ API событий 1Пароль и универсальный код ресурса (URI).
- Интервал времени по умолчанию — пять (5) минут. Если вы хотите изменить интервал, можно соответствующим образом настроить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрывающийся прием данных.
- Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
AbnormalSecurity (использование функции Azure)
Поддерживается:аномальная безопасность
Соединитель данных Abnormal Security предоставляет возможность приема журналов угроз и случаев в Microsoft Sentinel с помощью REST API аномальной безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Нет | Нет |
ABNORMAL_CASES_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер аномального API безопасности. Требуется маркер аномального API безопасности. Дополнительные сведения см. в разделе Аномальные API безопасности. Примечание: Требуется аномальная учетная запись безопасности
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API аномальной безопасности для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Шаг 1. Действия по настройке для аномального API безопасности
Чтобы настроить интеграцию REST API, следуйте этим инструкциям, приведенным в статье Аномальная безопасность. Примечание: Требуется аномальная учетная запись безопасности
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных "Аномальная безопасность" необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации аномальных API безопасности, доступный.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя аномальной безопасности с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области Microsoft Sentinel, Microsoft Sentinel общий ключ и аномальный ключ REST API безопасности.
- Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется соответствующим образом изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить прием перекрывающихся данных.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных "Аномальная безопасность" с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, AbnormalSecurityXX).
e. Выберите среду выполнения: Выберите Python 3.8.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (необязательно) (добавьте любые другие параметры, необходимые приложению-функции). Задайте для этого значения следующее
uri:<add uri value>
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Azure Key Vault.
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Agent 365
Поддерживается корпорациейМайкрософт
Agent 365 соединитель данных предоставляет более подробные сведения о действиях агента ИИ, предоставляя данные телеметрии агента ИИ из Agent 365, AI Foundry и Copilot в озере данных Microsoft Sentinel для изучения поведения агента, использования инструментов и выполнения с рабочими процессами охоты, графа и MCP. Данные из этого соединителя используются для изучения поведения агента ИИ, использования инструментов и выполнения в Microsoft Sentinel. Если вы включили эти рабочие процессы, деактивация этого соединителя предотвратит выполнение этих исследований.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
AIShield
Поддерживается:AIShield
Соединитель AIShield позволяет пользователям подключаться к журналам пользовательского механизма защиты AIShield с помощью Microsoft Sentinel, что позволяет создавать динамические панели мониторинга, книги, записные книжки и специализированные оповещения для улучшения исследования и предупреждения атак на системы ИИ. Она дает пользователям больше сведений о безопасности активов ИИ своей организации и улучшает возможности операций по обеспечению безопасности систем ИИ. AIShield.GuArdIan анализирует созданное LLM-содержимое для выявления и устранения вредоносного содержимого, защиты от нарушений на основе законодательства, политики, ролей и использования
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AIShield_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Примечание. Пользователи должны были использовать предложение SaaS AIShield для анализа уязвимостей и развертывания пользовательских механизмов защиты, созданных вместе с их ресурсом ИИ. Щелкните здесь , чтобы узнать больше или связаться.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом AIShield, которая развертывается с решением Microsoft Sentinel.
ВАЖНО: Перед развертыванием соединителя AIShield необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Alibaba Cloud ActionTrail (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Alibaba Cloud ActionTrail позволяет извлекать события actiontrail, хранящиеся в простой службе журналов Alibaba Cloud, и хранить их в Microsoft Sentinel через REST API SLS. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AliCloudActionTrailLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные и разрешения REST API SLS. Для выполнения вызовов API требуются AliCloudAccessKeyId и AliCloudAccessKeySecret . Инструкция политики ОЗУ с действием atleast
log:GetLogStoreLogsнад ресурсомacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}необходима, чтобы предоставить пользователю ОЗУ разрешения на вызов этой операции.
Инструкции по настройке:
Настройка доступа к API SLS AliCloud
Перед использованием API необходимо подготовить учетную запись удостоверений и пару ключей доступа для эффективного доступа к API.
- Рекомендуется использовать пользователя управления доступом к ресурсам (ОЗУ) для вызова операций API. Дополнительные сведения см. в статье Создание пользователя ОЗУ и авторизация пользователя ОЗУ для доступа к простой службе журналов.
- Получите пару ключей доступа для пользователя ОЗУ. Дополнительные сведения см. в разделе Получение пары ключей доступа.
Обратите внимание на сведения о паре ключей доступа для следующего шага.
Добавление ActionTrail Logstore
Чтобы включить соединитель Alibaba Cloud ActionTrail для Microsoft Sentinel, щелкните добавить ActionTrail Logstore, заполните форму конфигурацией среды Alibaba Cloud и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Alibaba Cloud Networking Data Connector (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Alibaba Cloud Networking предоставляет возможность приема сетевых данных Alibaba Cloud в Microsoft Sentinel с помощью REST API простой службы журналов (SLS). Дополнительные сведения см. в документации по API . Соединитель позволяет получать журналы потоков VPC, журналы WAF и журналы шлюза API из Alibaba Cloud.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AlibabaCloudVPCFlowLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к API Alibaba Cloud SLS. Доступ к простой службе журналов Alibaba Cloud требуется для API SLS.
Инструкции по настройке:
Настройка доступа к API SLS AliCloud
Перед использованием API необходимо подготовить учетную запись удостоверений и пару ключей доступа для эффективного доступа к API.
- Рекомендуется использовать пользователя управления доступом к ресурсам (ОЗУ) для вызова операций API. Дополнительные сведения см. в статье Создание пользователя ОЗУ и авторизация пользователя ОЗУ для доступа к простой службе журналов.
- Получите пару ключей доступа для пользователя ОЗУ. Дополнительные сведения см. в разделе Получение пары ключей доступа.
Обратите внимание на сведения о паре ключей доступа для следующего шага.
- Сетка соединителей данных (настройка на портале)
AliCloud (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных AliCloud предоставляет возможность извлекать журналы из облачных приложений с помощью облачного API и хранить события в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AliCloud_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для выполнения вызовов API требуются AliCloudAccessKeyId и AliCloudAccessKey .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом в AliCloud, развернутом с решением Microsoft Sentinel.
Шаг 1. Шаги по настройке API AliCloud
Следуйте инструкциям, чтобы получить учетные данные.
- Получите идентификаторы AliCloudAccessKeyId и AliCloudAccessKey: войдите в учетную запись, щелкните AccessKey Management и нажмите кнопку Просмотреть секрет.
- Сохраните учетные данные для использования в соединителе данных.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных AliCloud у вас есть идентификатор рабочей области и первичный ключ рабочей области (их можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных AliCloud с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects и AppInsightsWorkspaceResourceID и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных AliCloud с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, AliCloudXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): WorkspaceID WorkspaceKey AliCloudAccessId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Amazon Web Services
Поддерживается корпорациейМайкрософт
В процессе установки отображаются инструкции по подключению к AWS и потоковой передаче журналов CloudTrail в Microsoft Sentinel. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSCloudTrail |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Amazon Web Services CloudFront (с помощью платформы соединителей без кода) (предварительная версия)
Поддерживается корпорациейМайкрософт
Этот соединитель данных позволяет интегрировать журналы AWS CloudFront с Microsoft Sentinel для поддержки расширенного обнаружения угроз, исследования и мониторинга безопасности. Используя Amazon S3 для хранения журналов и Amazon SQS для очереди сообщений, соединитель надежно приемлет журналы доступа CloudFront в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Прием журналов AWS CloudFront в Microsoft Sentinel
Список обязательных ресурсов:
- Поставщик веб-удостоверений Open ID Connect (OIDC)
- Роль IAM
- Amazon S3 Bucket
- Amazon SQS
- Конфигурация AWS CloudFront
- Развертывание AWS CloudFormation. Чтобы настроить доступ в AWS, были созданы два шаблона для настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics.
Для каждого шаблона создайте Stack в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Выберите параметр "Указать шаблон", а затем "Отправить файл шаблона", щелкнув "Выбрать файл" и выбрав соответствующий файл шаблона CloudFormation, указанный ниже. щелкните "Выбрать файл" и выберите скачанный шаблон.
- Нажмите кнопки "Далее" и "Создать стек".
- Шаблон 1. Развертывание проверки подлинности OpenID Connect: <значение переменной, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWSCloudFront: <переменное значение, указанное во время установки>
- Подключение новых сборщиков. Чтобы включить AWS S3 для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Эластичная балансировка нагрузки Amazon Web Services (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель AWS Elastic Load Balanceing (ELB) для Microsoft Sentinel позволяет принимать журналы доступа и журналы потоков из AWS Application Load Balancers (ALB), сетевой подсистемы балансировки нагрузки (NLB) и подсистем балансировки нагрузки шлюза (GLB) в Microsoft Sentinel. Эти журналы содержат подробные сведения о запросах, обрабатываемых подсистемами балансировки нагрузки и потоками трафика VPC, обеспечивая мониторинг безопасности, обнаружение угроз и анализ трафика.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSALBAccessLogsData |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Aws IAM Role ARN и SQS Queue: требуется ARN роли AWS IAM с доступом между учетными записями и URL-адрес очереди SQS , настроенный для уведомлений о событиях S3. Инструкции по настройке см. в документации по соединителю AWS ELB .
Инструкции по настройке:
- Развертывание AWS CloudFormation. Чтобы настроить доступ к AWS, используйте шаблоны CloudFormation, чтобы настроить среду для отправки журналов из ALB, NLB и GLB в рабочую область Log Analytics.
Этапы развертывания:
- Перейдите в раздел Шаблоны формирования облака и скачайте файлы шаблонов JSON.
- Перейдите к AWS CloudFormation Stacks.
- Сначала разверните шаблон OIDCWebIdProvider.json (пропустите, если у вас уже есть поставщик OIDC для Microsoft Sentinel).
- Затем разверните шаблон AWSS3ELB.json с параметрами.
- Запишите следующие значения из выходных данных стека:
IAMRoleArnALBSQSQueueURLNLBSQSQueueURLNLBFlowLogsSQSQueueURLGLBFlowLogsSQSQueueURL
Конфигурация после развертывания:
После успешного развертывания стека CloudFormation:
- Перейдите на вкладку Ресурсы в стеке.
- Найдите имя созданного контейнера S3.
- В контейнере S3 вручную создайте следующие папки:
ALBLogsNLBAccessLogsNLBFlowLogsGLBFlowLogs
Отправка журналов:
После создания папки настройте службы AWS для отправки журналов в соответствующие папки:
- Журналы доступа к подсистеме балансировки нагрузки —>
ALBLogs/ - Журналы доступа к NLB ->
NLBAccessLogs/ - Журналы потоков балансировки нагрузки —>
NLBFlowLogs/ - Журналы потоков GLB —>
GLBFlowLogs/
Эти журналы будут приниматься в соответствующие таблицы в рабочей области Log Analytics.
Сопоставление таблиц:
- Журналы доступа к подсистеме балансировки нагрузки —>
AWSALBAccessLogsData - Журналы доступа к NLB ->
AWSNLBAccessLogsData - Журналы потоков NLB и GLB .>
AWSELBFlowLogsData
Примечание:
AWSELBFlowLogsDataВ таблице столбец с именемLogTypeуказывает, является ли строка из журналов потоков NLB или журналов потоков GLB.
- Подключить новые сборщики. Чтобы включить соединитель, щелкните Добавить новый сборщик, введите необходимые сведения и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Amazon Web Services NetworkFirewall (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель данных позволяет принимать журналы брандмауэра сети AWS в Microsoft Sentinel для расширенного обнаружения угроз и мониторинга безопасности. Используя Amazon S3 и Amazon SQS, соединитель пересылает журналы сетевого трафика, оповещения об обнаружении вторжений и события брандмауэра в Microsoft Sentinel, обеспечивая анализ в режиме реального времени и корреляцию с другими данными безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSNetworkFirewallFlow |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Прием журналов AWS NetworkFirewall в Microsoft Sentinel
Список обязательных ресурсов:
- Поставщик веб-удостоверений Open ID Connect (OIDC)
- Роль IAM
- Amazon S3 Bucket
- Amazon SQS
- Конфигурация AWSNetworkFirewall
- Следуйте этим инструкциям для конфигурации соединителя данных AWS NetworkFirewall.
- Развертывание AWS CloudFormation. Чтобы настроить доступ в AWS, были созданы два шаблона для настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics.
Для каждого шаблона создайте Stack в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Выберите параметр "Указать шаблон", а затем "Отправить файл шаблона", щелкнув "Выбрать файл" и выбрав соответствующий файл шаблона CloudFormation, указанный ниже. щелкните "Выбрать файл" и выберите скачанный шаблон.
- Нажмите кнопки "Далее" и "Создать стек".
- Шаблон 1. Развертывание проверки подлинности OpenID Connect: <значение переменной, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWSNetworkFirewall: <значение переменной, указанное во время установки>
- Подключение новых сборщиков. Чтобы включить AWS S3 для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Amazon Web Services S3
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы служб AWS, собранные в контейнерах AWS S3, для Microsoft Sentinel. В настоящее время поддерживаются следующие типы данных:
- AWS CloudTrail
- Журналы потоков VPC
- AWS GuardDuty
- AWSCloudWatch
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSGuardDuty |
Да | Да |
AWSVPCFlow |
Да | Да |
AWSCloudTrail |
Да | Да |
AWSCloudWatch |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Среда. Необходимо определить и настроить следующие ресурсы AWS: S3, simple Queue Service (SQS), роли IAM и политики разрешений, а также службы AWS, журналы которых требуется собрать.
Инструкции по настройке:
1. Настройка среды AWS
Существует два варианта настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics:
Настройка с помощью скрипта PowerShell (рекомендуется)
- Запуск скрипта для настройки среды: <значение переменной, указанное во время установки>
- Внешняя идентификация (идентификатор рабочей области):< значение переменной, указанное во время установки.>
Настройка вручную
Выполните инструкции по следующей ссылке, чтобы настроить среду: Подключение AWS S3 к Microsoft Sentinel
2. Добавление подключения
Amazon Web Services S3 DNS Route53 (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы DNS AWS Route 53 в Microsoft Sentinel для улучшения видимости и обнаружения угроз. Он поддерживает журналы запросов Сопоставителя DNS, поступающие непосредственно из контейнеров AWS S3, в то время как общедоступные журналы запросов DNS и журналы аудита route 53 можно принимать с помощью соединителей AWS CloudWatch и CloudTrail Microsoft Sentinel. Приводятся подробные инструкции по настройке каждого типа журнала. Используйте этот соединитель для мониторинга активности DNS, обнаружения потенциальных угроз и улучшения состояния безопасности в облачных средах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSRoute53Resolver |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
AWS Route53
Этот соединитель позволяет принимать журналы DNS AWS Route 53 в Microsoft Sentinel, обеспечивая улучшенную видимость действий DNS и укрепляя возможности обнаружения угроз. Он поддерживает прямой прием журналов запросов Сопоставителя DNS из контейнеров AWS S3, а общедоступные журналы запросов DNS и журналы аудита маршрута 53 можно принимать через соединители AWS CloudWatch и CloudTrail Microsoft Sentinel. Подробные инструкции по настройке приведены для каждого типа журнала. Используйте этот соединитель для мониторинга трафика DNS, выявления потенциальных угроз и улучшения состояния облачной безопасности.
Вы можете принимать следующие типы журналов из маршрута AWS 53 в Microsoft Sentinel:
- Журналы запросов сопоставителя маршрута 53
- Маршрут 53 для журналов запросов общедоступных размещенных зон (через соединитель Microsoft Sentinel CloudWatch)
- Журналы аудита маршрута 53 (через соединитель Microsoft Sentinel CloudTrail)
Прием журналов запросов Сопоставителя Route53 в Microsoft Sentinel
Список обязательных ресурсов:
- Поставщик веб-удостоверений Open ID Connect (OIDC)
- Роль IAM
- Amazon S3 Bucket
- Amazon SQS
- Конфигурация ведения журнала запросов сопоставителя маршрута 53
- VPC для связи с конфигурацией журнала запросов сопоставителя Route53
- Развертывание AWS CloudFormation. Чтобы настроить доступ в AWS, были созданы два шаблона для настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics.
Для каждого шаблона создайте Stack в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Выберите параметр "Указать шаблон", а затем "Отправить файл шаблона", щелкнув "Выбрать файл" и выбрав соответствующий файл шаблона CloudFormation, указанный ниже. щелкните "Выбрать файл" и выберите скачанный шаблон.
- Нажмите кнопки "Далее" и "Создать стек".
- Шаблон 1. Развертывание проверки подлинности OpenID Connect: <значение переменной, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWS Route53: <значение переменной, указанное во время установки>
- Подключение новых сборщиков. Чтобы включить Amazon Web Services S3 DNS Route53 для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Прием журналов запросов общедоступных размещенных зон маршрута 53 (через Microsoft Sentinel соединитель CloudWatch)
Журналы запросов общедоступной размещенной зоны экспортируются в службу CloudWatch в AWS. Мы можем использовать соединитель Amazon Web Services S3 для приема журналов CloudWatch из AWS в Microsoft Sentinel.
Шаг 1. Настройка ведения журнала для общедоступных запросов DNS
- Войдите в консоль управления AWS и откройте консоль Route 53 по адресу AWS Route 53.
- Перейдите к маршруту 53 > Размещенные зоны.
- Выберите общедоступную размещенную зону, для которой нужно настроить ведение журнала запросов.
- В области Сведения о размещенной зоне щелкните "Настройка ведения журнала запросов".
- Выберите существующую группу журналов или создайте новую группу журналов.
- Выберите пункт Создать.
Шаг 2. Настройка соединителя данных Amazon Web Services S3 для AWS CloudWatch
Журналы AWS CloudWatch можно экспортировать в контейнер S3 с помощью лямбда-функции. Чтобы принимать общедоступные DNS-запросы из AWS CloudWatchS3 в контейнер, а затем Microsoft Sentinel, следуйте инструкциям, приведенным в соединителе Amazon Web Services S3.
Прием журналов аудита маршрута 53 (через соединитель Microsoft Sentinel CloudTrail)
Журналы аудита маршрута 53, т. е. журналы, связанные с действиями, выполняемыми пользователем, ролью или службой AWS в маршруте 53, можно экспортировать в контейнер S3 с помощью службы AWS CloudTrail. Мы можем использовать соединитель Amazon Web Services S3 для приема журналов CloudTrail из AWS в Microsoft Sentinel.
Шаг 1. Настройка ведения журнала для журналов аудита AWS Route 53
- Войдите в консоль управления AWS и откройте консоль CloudTrail в AWS CloudTrail.
- Если у вас нет существующего следа, щелкните "Создать след".
- Введите имя для следа в поле Имя следа.
- Выберите Создать новый контейнер S3 (вы также можете использовать существующий контейнер S3).
- Оставьте остальные параметры по умолчанию и нажмите кнопку Далее.
- Выберите Тип события, убедитесь, что выбран параметр События управления.
- Выберите действие API, "Чтение" и "Запись".
- Нажмите кнопку "Далее".
- Просмотрите параметры и нажмите кнопку "Создать след".
Шаг 2. Настройка соединителя данных Amazon Web Services S3 для AWS CloudTrail
Чтобы принимать журналы аудита и управления из AWS CloudTrail Microsoft Sentinel, следуйте инструкциям в соединителе Amazon Web Services S3.
Amazon Web Services S3 WAF
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы AWS WAF, собранные в контейнерах AWS S3, для Microsoft Sentinel. Журналы AWS WAF — это подробные записи трафика, которые анализируются списками управления доступом (ACL), которые необходимы для обеспечения безопасности и производительности веб-приложений. Эти журналы содержат такие сведения, как время получения запроса AWS WAF, особенности запроса и действия, предпринятые правилом, с которым совпадает запрос.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSWAF |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
- Развертывание AWS CloudFormation. Чтобы настроить доступ в AWS, были созданы два шаблона для настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics.
Для каждого шаблона создайте Stack в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Выберите параметр "Указать шаблон", а затем "Отправить файл шаблона", щелкнув "Выбрать файл" и выбрав соответствующий файл шаблона CloudFormation, указанный ниже. щелкните "Выбрать файл" и выберите скачанный шаблон.
- Нажмите кнопки "Далее" и "Создать стек".
- Шаблон 1. Развертывание проверки подлинности OpenID Connect: <значение переменной, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWS WAF: <значение переменной, указанное во время установки>
- Подключение новых сборщиков. Чтобы включить AWS S3 для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Anvilogic
Поддерживается:Anvilogic
Соединитель данных Anvilogic позволяет извлекать интересующие события, созданные в кластере Anvilogic ADX, в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Anvilogic_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Идентификатор клиента и секрет клиента для регистрации приложения Anvilogic: для доступа к Anvilogic ADX требуется идентификатор клиента и секрет клиента из регистрации приложения Anvilogic.
Инструкции по настройке:
Подключитесь к Anvilogic, чтобы начать сбор интересующих событий в Microsoft Sentinel
Заполните форму для приема оповещений Anvilogic в Microsoft Sentinel
- Конечная точка токена: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
- Область Anvilogic ADX: (<avl_adx_uri>/.default)
- Anvilogic ADX Request URI: (<avl_adx_uri>/v2/rest/query)
ARGOS Cloud Security
Поддерживается:ARGOS Cloud Security
Интеграция ARGOS Cloud Security для Microsoft Sentinel позволяет выполнять все важные события безопасности в облаке в одном месте. Это позволяет легко создавать панели мониторинга, оповещения и коррелировать события в нескольких системах. В целом это улучшит состояние безопасности вашей организации и реагирование на инциденты безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ARGOS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
1. Подписка на ARGOS
Убедитесь, что у вас уже есть подписка ARGOS. Если это не так, перейдите по адресу ARGOS Cloud Security и зарегистрируйтесь в ARGOS.
Кроме того, вы также можете приобрести ARGOS через Azure Marketplace.
2. Настройка интеграции Sentinel из ARGOS
Настройте ARGOS для перенаправления новых обнаружений в рабочую область Sentinel путем предоставления ARGOS идентификатора рабочей области и первичного ключа.
Нет необходимости развертывать настраиваемую инфраструктуру.
Введите эти сведения на странице конфигурации ARGOS Sentinel.
Новые обнаружения будут переадресованы автоматически.
Дополнительные сведения об интеграции
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Действия с оповещениями Armis (с помощью Функции Azure)
Поддерживается корпорациейArmis
Соединитель Действий оповещений Armis предоставляет возможность приема оповещений и действий Armis в Microsoft Sentinel с помощью REST API Armis. Дополнительные сведения см. в документации https://<YourArmisInstance>.armis.com/api/v1/docs по API. Соединитель предоставляет возможность получать сведения об оповещениях и действиях с платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывания агентов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Armis_Alerts_CL |
Нет | Нет |
Armis_Activities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации по
https://<YourArmisInstance>.armis.com/api/v1/doc
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Armis для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, которая развертывается в составе решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Журналы, щелкните Функции и найдите псевдоним ArmisActivities/ArmisAlerts и загрузите код функции. Обычно для активации функции требуется 10–15 минут после установки или обновления решения.
Шаг 1. Шаги по настройке API Armis
Следуйте этим инструкциям, чтобы создать секретный ключ API Armis.
- Войдите в экземпляр Armis
- Перейдите в раздел Параметры —> Управление API
- Если секретный ключ еще не создан, нажмите кнопку Создать, чтобы создать секретный ключ.
- Чтобы получить доступ к секретной клавише, нажмите кнопку Показать.
- Теперь секретный ключ можно скопировать и использовать во время настройки соединителя действий оповещений Armis.
Шаг 2. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента необходимы в качестве параметров конфигурации для выполнения соединителя данных действий оповещений Armis.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 3. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных действий оповещений Armis. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных действий оповещений Armis.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 4. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
ШАГ 5. Создание хранилища ключей
Следуйте этим инструкциям, чтобы создать хранилище ключей.
- В портал Azure перейдите к хранилищам ключей. Нажмите "Создать".
- Выберите Подраздел, Группа ресурсов и укажите уникальное имя keyvault.
ПРИМЕЧАНИЕ. Создайте отдельное хранилище ключей для каждого ключа API в одной рабочей области.
ШАГ 6. Создание политики доступа в хранилище ключей
Следуйте этим инструкциям, чтобы создать политику доступа в Keyvault.
- Перейдите к keyvaults, выберите свое хранилище ключей, перейдите в раздел Политики доступа на левой боковой панели. Нажмите "Создать".
- Выберите все ключи & разрешения на секреты. Нажмите кнопку Далее.
- В разделе субъекта выполните поиск по имени приложения, которое было создано в шаге 2. Нажмите кнопку Далее.
ПРИМЕЧАНИЕ. Убедитесь, что для модели разрешений в конфигурации доступа Key Vault задано значение "Политика доступа к хранилищу".
ШАГ 7. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя данных действий оповещений Armis необходимо иметь доступные идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела). ., а также ключи авторизации API Armis.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Armis.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения: Имя функции Идентификатор рабочей области Ключ Рабочей области Armis Секретный ключ Armis URL-адрес (https://< armis-instance.armis.com/api/v1/>) Имя таблицы оповещений Armis
Серьезность таблицы действий Armis (по умолчанию: low) Armis Schedule KeyVault name Azure идентификатор клиента Azure идентификатор клиента секрета клиентаУстановите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Действий оповещений Armis с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, ARMISXXXXXX).
e. Выберите среду выполнения: Выбор Python 3.11
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): Идентификатор рабочей области Ключ рабочей области Armis Секретный ключ URL-адрес Armis (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name Armis Activity Name (Default: Low) Armis Schedule KeyVault Name Azure идентификатор клиента Azure client Secret Tenant Id logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Устройства Armis (с помощью Функции Azure)
Поддерживается корпорациейArmis
Соединитель устройств Armis предоставляет возможность приема устройств Armis в Microsoft Sentinel через REST API Armis. Дополнительные сведения см. в документации https://<YourArmisInstance>.armis.com/api/v1/docs по API. Соединитель предоставляет возможность получать сведения об устройстве с платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывания агентов. Armis также может интегрироваться с существующими средствами управления безопасностью ИТ-& для идентификации и классификации каждого устройства, управляемого или неуправляемого в вашей среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Armis_Devices_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации по
https://<YourArmisInstance>.armis.com/api/v1/doc
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Armis для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, чтобы работать должным образом. Выполните следующие действия , чтобы создать псевдоним функций Kusto ArmisDevice.
Шаг 1. Шаги по настройке API Armis
Следуйте этим инструкциям, чтобы создать секретный ключ API Armis.
- Войдите в экземпляр Armis
- Перейдите в раздел Параметры —> Управление API
- Если секретный ключ еще не создан, нажмите кнопку Создать, чтобы создать секретный ключ.
- Чтобы получить доступ к секретной клавише, нажмите кнопку Показать.
- Теперь секретный ключ можно скопировать и использовать во время настройки соединителя устройства Armis.
Шаг 2. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных устройства Armis.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 3. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, является строковым значением, необходимым для выполнения соединителя данных устройства Armis. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных устройства Armis.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 4. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
ШАГ 5. Создание хранилища ключей
Следуйте этим инструкциям, чтобы создать хранилище ключей.
- В портал Azure перейдите к хранилищам ключей. Нажмите "Создать".
- Выберите Подраздел, Группа ресурсов и укажите уникальное имя keyvault.
ПРИМЕЧАНИЕ. Создайте отдельное хранилище ключей для каждого ключа API в одной рабочей области.
ШАГ 6. Создание политики доступа в хранилище ключей
Следуйте этим инструкциям, чтобы создать политику доступа в Keyvault.
- Перейдите к keyvaults, выберите свое хранилище ключей, перейдите в раздел Политики доступа на левой боковой панели. Нажмите "Создать".
- Выберите все ключи & разрешения на секреты. Нажмите кнопку Далее.
- В разделе субъекта выполните поиск по имени приложения, которое было создано в шаге 2. Нажмите кнопку Далее.
ПРИМЕЧАНИЕ. Убедитесь, что для модели разрешений в конфигурации доступа Key Vault задано значение "Политика доступа к хранилищу".
ШАГ 7. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя данных устройства Armis необходимо иметь доступные идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела). ., а также ключи авторизации API Armis.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Armis.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения: Имя функции Идентификатор рабочей области Ключ рабочей области Armis URL-адрес секретного ключа Armis (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure идентификатор клиента Azure идентификатор клиента секрета клиента
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных устройства Armis с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, ARMISXXXXXX).
e. Выберите среду выполнения: Выбор Python 3.11
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): Идентификатор рабочей области Ключ Рабочей области Armis СЕКРЕТНЫй ключ URL-адрес Armis (https://< armis-instance.armis.com/api/v1/>) Имя таблицы устройства Armis Schedule KeyVault Name Azure идентификатор клиента Azure идентификатор клиента Секретный идентификатор клиента logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Atlassian Beacon Alerts
Поддерживается:DEFEND Ltd.
Atlassian Beacon — это облачный продукт, созданный для интеллектуального обнаружения угроз на платформах Atlassian (Jira, Confluence и Atlassian Администратор). Это может помочь пользователям обнаруживать, исследовать и реагировать на рискованные действия пользователей для набора продуктов Atlassian. Решение представляет собой настраиваемый соединитель данных от КОМПАНИИ DEFENSE Ltd., который используется для визуализации оповещений, поступающих из Atlassian Beacon в Microsoft Sentinel через приложение логики.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
atlassian_beacon_alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
1. Microsoft Sentinel
Перейдите к только что установленному приложению логики "Интеграция Atlassian Beacon"
Перейдите к конструктору приложений логики.
Разверните раздел "При получении HTTP-запроса"
Скопируйте "URL-адрес HTTP POST"
2. Atlassian Beacon
Вход в Atlassian Beacon с помощью учетной записи администратора
Перейдите к разделу "ПЕРЕСЫЛКА SIEM" в разделе ПАРАМЕТРЫ.
Вставьте скопированный URL-адрес из приложения логики в текстовое поле
Нажмите кнопку "Сохранить"
3. Тестирование и проверка
Вход в Atlassian Beacon с помощью учетной записи администратора
Перейдите к разделу "ПЕРЕСЫЛКА SIEM" в разделе ПАРАМЕТРЫ.
Нажмите кнопку "Тест" рядом с недавно настроенным веб-перехватчиком.
Перейдите к Microsoft Sentinel
Перейдите к только что установленному приложению логики
Проверьте наличие запуска приложения логики в разделе "Журнал запусков".
Проверьте наличие журналов под именем таблицы "atlassian_beacon_alerts_CL" в разделе "Журналы".
Если правило аналитики было включено, приведенное выше оповещение Тестово должно было создать инцидент в Microsoft Sentinel
Аудит Atlassian Confluence (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Atlassian Confluence Audit предоставляет возможность принимать события записей аудита Confluence в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ConfluenceAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API Atlassian Confluence. Для получения доступа к API журналов аудита Confluence требуется разрешение на администрирование Confluence . Дополнительные сведения об API аудита см. в документации по API confluence .
Инструкции по настройке:
Подключитесь к API Atlassian Confluence, чтобы начать сбор журналов аудита в Microsoft Sentinel
Чтобы включить соединитель Atlassian Confluence для Microsoft Sentinel, щелкните, чтобы добавить организацию, заполните форму учетными данными среды Confluence и щелкните Подключиться. Чтобы создать маркер API, выполните следующие действия .
- Сетка соединителей данных (настройка на портале)
Atlassian Jira Audit (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Atlassian Jira Audit предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Jira_Audit_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: для REST API требуется JiraAccessToken, JiraUsername . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API Jira для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, чтобы работать должным образом. Выполните следующие действия , чтобы создать псевдоним функций Kusto JiraAudit
ШАГ 1. Действия по настройке api Jira
Следуйте инструкциям, чтобы получить учетные данные.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных рабочей области у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Jira Audit с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите JiraAccessToken, JiraUsername, JiraHomeSiteName (часть короткого имени сайта, в качестве примера HOMESITENAME из https://community.atlassian.com) и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Jira Audit с Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, JiraAuditXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceID LogAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Atlassian Jira Audit (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Atlassian Jira Audit предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Jira_Audit_v2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API Atlassian Jira. Разрешение на администрирование Jira требуется для получения доступа к API журналов аудита Jira. Дополнительные сведения об API аудита см. в документации по API Jira .
Инструкции по настройке:
Чтобы включить соединитель Atlassian Jira для Microsoft Sentinel, щелкните, чтобы добавить организацию, заполните форму учетными данными среды Jira и щелкните Подключиться. Чтобы создать маркер API, выполните следующие действия .
- Сетка соединителей данных (настройка на портале)
Журналы auth0 (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Auth0 позволяет принимать журналы из API Auth0 в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API Auth0 для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Auth0Logs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Шаг 1. Шаги по настройке API управления Auth0
Следуйте инструкциям, чтобы получить учетные данные.
- На панели мониторинга Auth0 перейдите в раздел [Приложения>]
- Выберите приложение. Это должно быть приложение [между компьютерами], настроенным по крайней мере с разрешениями [read:logs] и [read:logs_users].
- Копирование [домен, идентификатор клиента, секрет клиента]
-
Базовый URL-адрес API: (
https://example.auth0.com) - Идентификатор клиента: (идентификатор клиента)
- Секрет клиента: (токен API)
- Включение и отключение подключения
Автоматизированная логика WebCTRL
Поддерживается корпорациейМайкрософт
Вы можете выполнять потоковую передачу журналов аудита с сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает аналитические сведения о системах промышленного управления, которые отслеживаются или контролируются приложением WebCTRL BAS.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
1. Установите и подключить агент Майкрософт для Windows.
Узнайте о настройке агента и подключении событий Windows.
Этот шаг можно пропустить, если вы уже установили агент Майкрософт для Windows
2. Настройка задачи Windows для чтения данных аудита и их записи в события Windows
Установите и настройте запланированную задачу Windows для чтения журналов аудита в SQL и записи их как событий Windows. Эти события Windows будут собираться агентом и пересылаться в Microsoft Sentinel.
Обратите внимание, что данные со всех компьютеров будут храниться в выбранной рабочей области.
2.1. Скопируйте файлы установки в расположение на сервере.
2.2 Обновите параметры скрипта ALC-WebCTRL-AuditPull.ps1 (скопированные на предыдущем шаге), такие как имя целевой базы данных и идентификатор события Windows. Дополнительные сведения см. в комментариях к скрипту.
2.3. Обновите параметры задач Windows в файлеALC-WebCTRL-AuditPullTaskConfig.xml , скопированном на предыдущем шаге, согласно требованию. Дополнительные сведения см. в комментариях к файлу.
2.4. Установка задач Windows с помощью обновленных конфигураций, скопированных на описанных выше шагах
- Выполните следующую команду в PowerShell из каталога, в который копируются файлы установки на шаге 2.1: <переменное значение, указанное во время установки.>
3. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы событий.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, проверьте следующие действия на наличие проблем во время выполнения:
Убедитесь, что запланированная задача создана и находится в состоянии выполнения в планировщике задач Windows.
Проверка ошибок выполнения задач на вкладке "Журнал" в планировщике задач Windows для созданной задачи на шаге 2.4
Убедитесь, что таблица аудита SQL содержит новые записи во время выполнения запланированной задачи Windows.
Соединитель данных AWS EKS (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных AWS EKS предоставляет возможность приема журналов аудита из Amazon Elastic Kubernetes Service в Microsoft Sentinel. Этот соединитель предназначен для журналов аудита EKS (формат JSON), которые содержат подробные сведения о запросах сервера API, решениях проверки подлинности и действиях кластера. Соединитель использует AWS SQS для получения уведомлений при экспорте новых файлов журнала аудита в S3, обеспечивая мониторинг безопасности и отслеживание соответствия требованиям для кластеров Kubernetes в режиме реального времени.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSEKSLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
1. Развертывание AWS CloudFormation
Используйте предоставленные шаблоны CloudFormation, чтобы настроить среду AWS для отправки журналов из AWS EKS в рабочую область Log Analytics.
Развертывание шаблонов CloudFormation в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Щелкните Создать стек и выберите С новыми ресурсами.
- Выберите Отправить файл шаблона, а затем щелкните Выбрать файл, чтобы отправить соответствующий шаблон CloudFormation (Шаблон 1 и 2 ниже).
- Следуйте инструкциям и нажмите кнопку Далее , чтобы завершить создание стека.
- После создания стеков перейдите к разделу Выходные данные . Запустите скрипты на шагах 1 и 2 из раздела выходных данных. Он выполняет потоковую передачу журнала из eks в sqs.
- В том же разделе выходных данных запишите url-адрес ARN роли и ОЧЕРЕДИ SQS , которые будут использоваться в соединителе connect.
- Шаблон 1. Развертывание поставщика проверки подлинности OpenID Connect: <переменное значение, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWS EKS: <переменное значение, указанное во время установки>
2. Подключение новых сборщиков
Чтобы включить соединитель AWS Security Hub для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения в области контекста и нажмите кнопку Подключить.
- SentinelRoleArn: (ARN роли AWS IAM для доступа между учетными записями (например, arn:aws:iam::123456789012:role/SentinelRole))
- SentinelSQSQueueURL: (полный URL-адрес очереди AWS EKS (например, https://sqs.region.amazonaws.com/account-id/queue-name))
3. Подключение
Включите соединитель AWS EKS.
- Включение и отключение подключения
Журналы доступа к серверу AWS S3 (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы доступа к серверу AWS S3 в Microsoft Sentinel. Эти журналы содержат подробные записи о запросах, выполненных в контейнеры S3, включая тип запроса, доступ к ресурсу, сведения о запросе и сведения об ответе. Эти журналы полезны для анализа шаблонов доступа, отладки проблем и обеспечения соответствия требованиям безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSS3ServerAccess |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Среда. Необходимо определить и настроить следующие ресурсы AWS: контейнер S3, простая служба очередей (SQS), роли IAM и политики разрешений.
Инструкции по настройке:
- Развертывание AWS CloudFormation. Чтобы настроить доступ в AWS, были созданы два шаблона для настройки среды AWS для отправки журналов из журналов доступа к серверу AWS S3 в рабочую область Log Analytics.
Развертывание шаблонов CloudFormation в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Щелкните Создать стек и выберите С новыми ресурсами.
- Выберите Отправить файл шаблона, а затем щелкните Выбрать файл, чтобы отправить соответствующий предоставленный шаблон CloudFormation.
- Следуйте инструкциям и нажмите кнопку Далее , чтобы завершить создание стека.
- После создания стеков запишите URL-адрес ARN роли и ОЧЕРЕДИ SQS.
- Шаблон 1. Развертывание поставщика проверки подлинности OpenID Connect: <переменное значение, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWS Server Access: <значение переменной, указанное во время установки>
- Подключение новых сборщиков. Чтобы включить соединитель aws S3 Server Access Logs Connector для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Результаты aws Security Hub (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать результаты AWS Security Hub, собранные в контейнерах AWS S3, в Microsoft Sentinel. Она помогает упростить процесс мониторинга оповещений системы безопасности и управления ими, интегрируя результаты AWS Security Hub с расширенными возможностями обнаружения угроз и реагирования на угрозы Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSSecurityHubFindings |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Среда. Необходимо определить и настроить следующие ресурсы AWS: Центр безопасности AWS, Amazon Data Firehose, Amazon EventBridge, контейнер S3, простая служба очередей (SQS), роли IAM и политики разрешений.
Инструкции по настройке:
- Развертывание AWS CloudFormation Используйте предоставленные шаблоны CloudFormation, чтобы настроить среду AWS для отправки журналов из AWS Security Hub в рабочую область Log Analytics.
Развертывание шаблонов CloudFormation в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Щелкните Создать стек и выберите С новыми ресурсами.
- Выберите Отправить файл шаблона, а затем щелкните Выбрать файл, чтобы отправить соответствующий предоставленный шаблон CloudFormation.
- Следуйте инструкциям и нажмите кнопку Далее , чтобы завершить создание стека.
- После создания стеков запишите URL-адрес ARN роли и ОЧЕРЕДИ SQS.
- Шаблон 1. Развертывание поставщика проверки подлинности OpenID Connect: <переменное значение, указанное во время установки>
- Шаблон 2. Развертывание ресурсов Центра безопасности AWS: <переменное значение, указанное во время установки>
- Подключение новых сборщиков. Чтобы включить соединитель AWS Security Hub для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Действия Azure
Поддерживается корпорациейМайкрософт
журнал действий Azure — это журнал подписки, который предоставляет сведения о событиях уровня подписки, происходящих в Azure, включая события из Azure Resource Manager операционных данных, события работоспособности служб, операции записи, выполняемые с ресурсами в подписке, а также состояние действий, выполненных в Azure. Дополнительные сведения см. в документации по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureActivity |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Учетная запись пакетная служба Azure
Поддерживается корпорациейМайкрософт
учетная запись пакетная служба Azure — это уникально идентифицируемая сущность в пакетной службе. Большинство решений пакетной службы используют хранилище Azure для хранения файлов ресурсов и выходных файлов, поэтому каждая учетная запись пакетной службы обычно связана с соответствующей учетной записью хранения. Этот соединитель позволяет выполнять потоковую передачу пакетная служба Azure учетной записи диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключение учетной записи пакетная служба Azure диагностика журналов в Sentinel.
Этот соединитель использует Политика Azure для применения единой конфигурации потоковой передачи журналов учетной записи пакетная служба Azure к коллекции экземпляров, определенной как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политику ко всем текущим и будущим экземплярам. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналы из учетной записи пакетная служба Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Azure CloudNGFW от Palo Alto Networks
Поддерживается:Palo Alto Networks
Cloud Next-Generation Firewall by Palo Alto Networks , Azure native ISV Service, — это Брандмауэр нового поколения Palo Alto Networks (NGFW), предоставляемый как облачная служба на Azure. Вы можете обнаружить cloud NGFW в Azure Marketplace и использовать его в виртуальных сетях Azure. С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как app-ID, технологии фильтрации URL-адресов. Он обеспечивает предотвращение и обнаружение угроз с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по cloud NGFW для Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
fluentbit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение Cloud NGFW от Palo Alto Networks к Microsoft Sentinel
Включите параметры журнала во всех облачных NGFWs от Palo Alto Networks.
Внутри ресурса CLOUD NGFW:
- На домашней странице перейдите в раздел Параметры журнала .
- Убедитесь, что установлен флажок Включить параметры журнала .
- В раскрывающемся списке Параметры журнала выберите нужную рабочую область Log Analytics.
- Подтвердите выбранные параметры и конфигурации.
- Нажмите кнопку Сохранить , чтобы применить параметры.
Когнитивный поиск Azure
Поддерживается корпорациейМайкрософт
Когнитивный поиск Azure — это облачная служба поиска, которая предоставляет разработчикам инфраструктуру, API-интерфейсы и инструменты для создания расширенного интерфейса поиска по частному разнородному содержимому в веб-, мобильных и корпоративных приложениях. Этот соединитель позволяет выполнять потоковую передачу журналов Когнитивный поиск Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключите журналы Когнитивный поиск Azure диагностика к Sentinel.
Этот соединитель использует Политика Azure для применения единого Когнитивный поиск Azure конфигурации потоковой передачи журналов к коллекции экземпляров, определенных как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политику ко всем текущим и будущим экземплярам. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналы из Когнитивный поиск Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Защита от атак DDoS Azure
Поддерживается корпорациейМайкрософт
Подключитесь к журналам защиты от атак DDoS Azure Standard через журналы диагностики общедоступных IP-адресов. Помимо основной защиты от атак DDoS на платформе, Azure защита от атак DDoS Standard предоставляет расширенные возможности защиты от атак DDoS. Он автоматически настраивается для защиты определенных ресурсов Azure. Защита просто включается во время создания новых виртуальных сетей. Это также можно сделать после создания и не требует изменений приложений или ресурсов. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Azure журналы аудита DevOps (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных журналов аудита Azure DevOps позволяет принимать события аудита из Azure DevOps в Microsoft Sentinel. Этот соединитель данных построен с помощью платформы соединителя без кода Microsoft Sentinel, что обеспечивает беспроблемную интеграцию. Он использует API журналов аудита Azure DevOps для получения подробных событий аудита и поддерживает преобразования времени приема на основе DCR. Эти преобразования позволяют анализировать полученные данные аудита в настраиваемую таблицу во время приема, повышая производительность запросов, устраняя необходимость в дополнительном синтаксическом анализе. С помощью этого соединителя вы можете получить улучшенный обзор среды DevOps Azure и упростить операции по обеспечению безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ADOAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Azure Предварительные требования к DevOps. Убедитесь в следующем:
1. Зарегистрируйте приложение Entra в центре Microsoft Entra Администратор в разделе Регистрация приложений.
2. В разделе "Разрешения API" добавьте разрешения в "Azure DevOps - vso.auditlog".
3. В разделе "Сертификаты & секреты" создайте "Секрет клиента".
4. В разделе "Проверка подлинности" добавьте приведенный ниже URI перенаправления в соответствующее поле.
5. В параметрах Azure DevOps включите журнал аудита и задайте параметр Просмотр журнала аудита для пользователя. Azure Аудит DevOps.
6. Убедитесь, что пользователю, назначенному для подключения к соединителю данных, явно задано разрешение Просмотр журналов аудита значение Разрешить всегда. Это разрешение необходимо для успешного приема журналов. Если разрешение отозвано или не предоставлено, прием данных завершится ошибкой или прерван.
Инструкции по настройке:
**Подключитесь к Azure DevOps, чтобы начать сбор журналов аудита в Microsoft Sentinel. **
- Введите приложение, которое вы зарегистрировали.
- В разделе "Обзор" скопируйте идентификатор приложения (клиента).
- Нажмите кнопку "Конечные точки" и скопируйте значение "Конечная точка авторизации OAuth 2.0 (версия 2)" и значение "Конечная точка токена OAuth 2.0 (версия 2)".
- В разделе "Сертификаты & секреты" скопируйте значение "Секрет клиента" и сохраните его безопасно.
- Укажите необходимые сведения ниже и нажмите кнопку "Подключить".
- Конечная точка токена: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token'])
- Конечная точка авторизации: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize'])
- Конечная точка API: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)
Концентратор событий Azure
Поддерживается корпорациейМайкрософт
Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий. Он может получать и обрабатывать миллионы событий в секунду. Этот соединитель позволяет выполнять потоковую передачу журналов концентратора событий Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключите диагностика журналы концентратора событий Azure к Sentinel.
Этот соединитель использует Политика Azure для применения единой конфигурации потоковой передачи журналов концентратора событий Azure к коллекции экземпляров, определенной как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политику ко всем текущим и будущим экземплярам. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналы из концентратора событий Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Брандмауэр Azure
Поддерживается корпорациейМайкрософт
Подключение к Брандмауэр Azure. Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая защищает ресурсы Azure виртуальная сеть. Это брандмауэр как услуга с полным отслеживанием состояния со встроенным высоким уровнем доступности и неограниченной масштабируемостью облака. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
AZFWApplicationRule |
Да | Да |
AZFWFlowTrace |
Да | Да |
AZFWFatFlow |
Да | Да |
AZFWNatRule |
Да | Да |
AZFWDnsQuery |
Да | Да |
AZFWIdpsSignature |
Да | Да |
AZFWInternalFqdnResolutionFailure |
Да | Да |
AZFWNetworkRule |
Да | Да |
AZFWThreatIntel |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Azure Key Vault
Поддерживается корпорациейМайкрософт
Azure Key Vault — это облачная служба для безопасного хранения секретов и доступа к ним. Секрет — это все, к чему требуется жестко управлять доступом, например ключи API, пароли, сертификаты или криптографические ключи. Этот соединитель позволяет выполнять потоковую передачу журналов Azure Key Vault диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Служба Azure Kubernetes (AKS)
Поддерживается корпорациейМайкрософт
Служба Azure Kubernetes (AKS) — это полностью управляемая служба оркестрации контейнеров с открытым кодом, которая позволяет развертывать, масштабировать и администрировать контейнеры Docker и приложения на основе контейнеров в среде кластера. Этот соединитель позволяет выполнять потоковую передачу журналов Служба Azure Kubernetes (AKS) диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Azure Logic Apps
Поддерживается корпорациейМайкрософт
Azure Logic Apps — это облачная платформа для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Этот соединитель позволяет выполнять потоковую передачу журналов Azure Logic Apps диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключите журналы Logic Apps диагностика к Sentinel.
Этот соединитель использует Политика Azure для применения единой конфигурации потоковой передачи журналов Logic Apps Azure к коллекции экземпляров, определенных как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политику ко всем текущим и будущим экземплярам. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналов из Azure Logic Apps в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Azure Resource Graph
Поддерживается корпорациейМайкрософт
соединитель Azure Resource Graph предоставляет более подробную информацию о событиях Azure, дополняя сведения о Azure подписках и Azure ресурсах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: разрешение роли владельца для подписок Azure
Инструкции по настройке:
Подключение Azure Resource Graph к Microsoft Sentinel
Служебная шина Azure
Поддерживается корпорациейМайкрософт
Служебная шина Azure — это полностью управляемый корпоративный брокер сообщений с очередями сообщений и разделами публикации и подписки (в пространстве имен). Этот соединитель позволяет выполнять потоковую передачу журналов Служебная шина Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключите журналы Служебная шина Azure диагностика к Sentinel.
Этот соединитель использует Политика Azure для применения одной конфигурации потоковой передачи журналов Служебная шина Azure к коллекции экземпляров, определенной как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политику ко всем текущим и будущим экземплярам. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналы из Служебная шина Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
базы данных Azure SQL
Поддерживается корпорациейМайкрософт
Azure SQL — это полностью управляемое ядро СУБД "платформа как услуга" (PaaS), которое обрабатывает большинство функций управления базами данных, таких как обновление, исправление, резервное копирование и мониторинг, без необходимости привлечения пользователей. Этот соединитель позволяет выполнять потоковую передачу журналов аудита и диагностики баз данных Azure SQL в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
учетная запись хранения Azure
Поддерживается корпорациейМайкрософт
Azure учетная запись хранения — это облачное решение для современных сценариев хранения данных. Он содержит все объекты данных: большие двоичные объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет выполнять потоковую передачу Azure учетных записей хранения диагностика журналов в рабочую область Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureMetrics |
Нет | Нет |
StorageBlobLogs |
Да | Да |
StorageQueueLogs |
Да | Да |
StorageTableLogs |
Да | Да |
StorageFileLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключите учетную запись хранения Azure диагностика к Sentinel.
Этот соединитель использует набор политик Azure для применения конфигурации потоковой передачи журналов к коллекции экземпляров, определенных как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политики ко всем текущим и будущим экземплярам. Чтобы максимально эффективно использовать журнал диагностики учетной записи хранения из учетной записи хранения Azure, рекомендуется включить ведение журнала диагностики из всех служб в учетной записи хранения Azure — BLOB-объектов, очередей, таблиц и файлов. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналы из учетной записи хранения Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Stream диагностика журналы из службы BLOB-объектов хранилища Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Stream диагностика журналы из службы очередей хранилища Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Stream диагностика журналы из службы таблиц хранилища Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Stream диагностика журналы из файловой службы хранилища Azure в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
аналитика Azure Stream
Поддерживается корпорациейМайкрософт
Azure Stream Analytics - это механизм для выполнения аналитики и комплексной обработки событий в режиме реального времени, предназначенный для одновременного анализа и обработки больших объемов данных с быстрой потоковой передачей из нескольких источников. Этот соединитель позволяет выполнять потоковую передачу Azure Stream Аналитики диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по настройке:
Подключите журналы Azure Stream Analytics диагностика к Sentinel.
Этот соединитель использует Политика Azure для применения одной конфигурации потоковой передачи журналов Azure Stream Analytics к коллекции экземпляров, определенных как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политику ко всем текущим и будущим экземплярам. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Stream диагностика журналов из Azure Stream Analytics в большом масштабе
**Запустите мастер назначения Политика Azure и следуйте инструкциям. **
- На вкладке Основные сведения нажмите кнопку с тремя точками в разделе Область, чтобы выбрать подписку.
- На вкладке Параметры выберите рабочую область Microsoft Sentinel в раскрывающемся списке Рабочая область Log Analytics и оставьте пометку "True" все категории журналов, которые вы хотите принять.
- Чтобы применить политику к существующим ресурсам, пометьте поле Создание задачи исправления проверка на вкладке Исправление.
Azure Брандмауэр веб-приложений (WAF)
Поддерживается корпорациейМайкрософт
Подключитесь к Azure Брандмауэр веб-приложений (WAF) для Шлюз приложений, Front Door или CDN. Этот WAF защищает приложения от распространенных веб-уязвимостей, таких как внедрение кода SQL и межсайтовые скрипты, и позволяет настраивать правила, чтобы уменьшить количество ложных срабатываний. Инструкции по потоковой передаче журналов брандмауэра веб-приложения Майкрософт в Microsoft Sentinel отображаются в процессе установки. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
BETTER Mobile Threat Defense (MTD)
Поддерживается:Better Mobile Security Inc.
Соединитель BETTER MTD позволяет предприятиям подключать экземпляры Better MTD к Microsoft Sentinel, просматривать данные на панелях мониторинга, создавать настраиваемые оповещения, использовать их для запуска сборников схем и расширять возможности охоты на угрозы. Это дает пользователям больше сведений о мобильных устройствах своей организации и позволяет быстро анализировать текущее состояние безопасности мобильных устройств, что улучшает их общие возможности SecOps.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BetterMTDIncidentLog_CL |
Нет | Нет |
BetterMTDDeviceLog_CL |
Нет | Нет |
BetterMTDNetflowLog_CL |
Нет | Нет |
BetterMTDAppLog_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
- В консоли Better MTD щелкните Интеграция на боковой панели.
- Выберите вкладку Другие .
- Нажмите кнопку ДОБАВИТЬ УЧЕТНУЮ ЗАПИСЬ и выберите Microsoft Sentinel из доступных интеграций.
- Создайте интеграцию:
- задайте
ACCOUNT NAMEописательное имя, которое идентифицирует интеграцию, а затем нажмите кнопку Далее. - Введите и
WORKSPACE IDPRIMARY KEYв полях ниже нажмите кнопку Сохранить. - Нажмите кнопку Готово.
- Настройка политики угроз (о каких инцидентах следует сообщать ):
Microsoft Sentinel
- В консоли Better MTD щелкните Политики на боковой панели.
- Нажмите кнопку Изменить используемой политики.
- Для каждого типа инцидента, который требуется регистрировать, перейдите в поле Отправить в интеграции и выберите Sentinel
- Дополнительные сведения см. в документации.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
BeyondTrust PM Cloud
Поддерживается:BeyondTrust
Соединитель данных BeyondTrust Privilege Management Cloud позволяет принимать журналы аудита действий и журналы событий клиента из BeyondTrust PM Cloud в Microsoft Sentinel.
Этот соединитель использует Функции Azure для извлечения данных из API BeyondTrust PM Cloud и приема их в пользовательские таблицы Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Да | Да |
BeyondTrustPM_ClientEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные BeyondTrust PM Cloud API. Требуются идентификатор клиента И секрет клиента OAuth BeyondTrust PM Cloud. Для учетной записи API требуются следующие разрешения: аудит — только для чтения и отчеты — только для чтения.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API BeyondTrust PM Cloud для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ПРИМЕЧАНИЕ: Этот соединитель использует поток учетных данных клиента OAuth 2.0 для проверки подлинности с помощью API BeyondTrust PM Cloud.
ШАГ 1. Получение учетных данных Cloud API BeyondTrust PM
Создайте учетную запись API в экземпляре BeyondTrust PM Cloud с учетными данными API OAuth (идентификатор клиента и секрет клиента). Для учетной записи API требуются следующие разрешения:
- Аудит — только для чтения
- Отчеты — только для чтения
ШАГ 2. Развертывание соединителя и связанной функции Azure
Используйте этот метод для автоматического развертывания соединителя данных BeyondTrust PM Cloud с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов (должна содержать рабочую область Log Analytics) и Расположение.
Введите необходимые параметры:
-
Имя рабочей области: имя рабочей области Log Analytics (например,
beyondtrust-pmcloud). -
BeyondTrust PM Cloud Base URL: URL-адрес вашего клиента (например,
https://yourcompany.beyondtrustcloud.com) - BeyondTrust Client ID: Идентификатор клиента OAuth из шага 1
- BeyondTrust Client Secret: OAuth Client Secret from Step 1
- Интервал опроса аудита активности: как часто собирается аудит действий (по умолчанию: 15 минут)
- Интервал опроса событий клиента: частота сбора событий клиента (по умолчанию: 5 минут)
- Уровень журнала: уровень ведения журнала для устранения неполадок (по умолчанию: Information)
- Исторические данные: время сбора данных при первом запуске (по умолчанию: 1 день)
-
Имя рабочей области: имя рабочей области Log Analytics (например,
Просмотрите дополнительные параметры (SKU плана размещения, тип учетной записи хранения) и при необходимости настройте их.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
При развертывании создаются все необходимые ресурсы: приложение-функция, учетная запись хранения, конечная точка сбора данных, правила сбора данных и пользовательские таблицы Log Analytics.
Данные должны начаться в течение 15–30 минут после развертывания.
Соединитель DSPM BigID
Поддерживается:BigID
Соединитель данных BigID DSPM предоставляет возможность приема bigID DSPM случаев с затронутыми объектами и сведениями из источников данных в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BigIDDSPMCatalog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API BigID DSPM. Требуется доступ к API DSPM BigID через токен BigID.
Инструкции по настройке:
Подключитесь к API DSPM BigID, чтобы начать сбор DSPM случаев BigID и затронутых объектов в Microsoft Sentinel
Укажите доменное имя BigID, например customer.bigid.cloud, и токен BigID. Создайте маркер в консоли BigID с помощью параметров —> Управление доступом —> Пользователи —> выберите Пользователь и создайте маркер.
- Полное доменное имя BigID: (полное доменное имя BigID)
- Токен BigID: (токен BigID)
- Включение и отключение подключения
Bitglass (с использованием Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Bitglass предоставляет возможность получать журналы событий безопасности служб Bitglass и другие события в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitglassLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для выполнения вызовов API требуются BitglassToken и BitglassServiceURL .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом Bitglass, которая развертывается с решением Microsoft Sentinel.
ШАГ 1. Действия по настройке API извлечения журналов Bitglass
Следуйте инструкциям, чтобы получить учетные данные.
- Обратитесь в службу поддержки Bitglass и получите ntation BitglassToken и BitglassServiceURL ].
- Сохраните учетные данные для использования в соединителе данных.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Bitglass у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Bitglass с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите BitglassToken, BitglassServiceURL и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Bitglass с Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, BitglassXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): BitglassToken BitglassServiceURL WorkspaceID WorkspaceIDKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Журналы событий Bitwarden
Поддерживается:Bitwarden Inc
Этот соединитель предоставляет сведения о действиях bitwarden организации, таких как действия пользователя (вход, изменение пароля, 2fa и т. д.), действия шифра (создание, обновление, удаление, совместное использование и т. д.), действия сбора данных, действия организации и многое другое.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitwardenEventLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Bitwarden Client Id and Client Secret: ключ API можно найти в консоли администрирования bitwarden организации. Дополнительные сведения см. в документации по Bitwarden .
Инструкции по настройке:
Подключение журналов событий Bitwarden к Microsoft Sentinel
Ключ API можно найти в консоли администрирования bitwarden организации. Дополнительные сведения см. в документации по Bitwarden . Локальным серверам Bitwarden может потребоваться перенастроить URL-адрес установки.
- Url-адрес bitwarden identity: (https://identity.bitwarden.com)
- Url-адрес API Bitwarden: (https://api.bitwarden.com)
blacklens.io
Поддерживается:blacklens.io Support
Соединитель данных blacklens.io позволяет принимать оповещения об управлении атаками из blacklens.io в Microsoft Sentinel с помощью приложения логики на основе веб-перехватчика и API приема журналов мониторинга Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
blacklens_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка. Для развертывания инфраструктуры приема данных (конечная точка сбора данных, правило сбора данных, настраиваемая таблица и приложение логики) требуются разрешения участника или владельца в группе ресурсов.
- учетная запись blacklens.io. Требуется учетная запись blacklens.io с возможностями интеграции с веб-перехватчиком.
Инструкции по настройке:
Шаг 1. Развертывание инфраструктуры приема данных
На этом шаге развертываются необходимые Azure ресурсов: конечная точка сбора данных, правило сбора данных, настраиваемая таблица Log Analytics (blacklens_CL) и приложение логики с активацией веб-перехватчика.
Нажмите кнопку Развернуть в Azure ниже.
Выберите подписку, группу ресурсов и расположение, где находится рабочая область Microsoft Sentinel.
Введите имя рабочей области Log Analytics.
Щелкните Просмотр и создание, а затем — Создать.
Шаг 2. Копирование URL-адреса веб-перехватчика
- После успешного развертывания перейдите на вкладку Выходные данные на странице развертывания.
- Скопируйте значение webhookUrl .
Кроме того, перейдите в раздел Обзор Logic Apps >la-blacklens-alert-log-ingestion> и скопируйте URL-адрес рабочего процесса.
Шаг 3. Настройка blacklens.io
- Войдите на портал blacklens.io.
- Перейдите к параметрам интеграции веб-перехватчиков.
- Вставьте URL-адрес веб-перехватчика, скопированный на шаге 2.
- Сохраните конфигурацию.
- Свяжите интеграцию веб-перехватчика по крайней мере с одной политикой уведомлений , чтобы оповещения отправлялись в веб-перехватчик.
Через несколько минут в Microsoft Sentinel должен появиться тестовый инцидент.
Box (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Box предоставляет возможность приема событий Box enterprise в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации по Box .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BoxEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Box. Для проверки подлинности JWT в REST API Box требуется ФАЙЛ JSON конфигурации Box. Дополнительные сведения см. в статье Проверка подлинности JWT.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API Box для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать в соответствии с ожидаемыми событиями BoxEvents, развернутыми с решением Microsoft Sentinel.
ШАГ 1. Настройка коллекции событий Box
Сведения о настройке проверки подлинности JWT и получении JSON-файла с учетными данными см. в документации.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Box укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также файл конфигурации Box JSON, доступный.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Box с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Box с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
События Box (CCF)
Поддерживается корпорациейМайкрософт
Соединитель данных Box предоставляет возможность приема событий Box enterprise в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации по Box .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BoxEventsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные API Box. Для проверки подлинности ДЛЯ API Box требуется идентификатор клиента приложения Box и секрет клиента. Дополнительные сведения см. в разделе Предоставление учетных данных клиента.
- Box Enterprise ID. Для подключения требуется Box Enterprise ID. Поиск идентификатора предприятия см. в документации.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует платформу Connecor без кода (CCF) для подключения к REST API Box для извлечения журналов в Microsoft Sentinel.
ПРИМЕЧАНИЕ: Этот соединитель зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать в соответствии с ожидаемыми событиями BoxEvents, развернутыми с решением Microsoft Sentinel.
ШАГ 1. Создание пользовательского приложения Box
Сведения о настройке проверки подлинности учетных данных клиента см. в документации.
ШАГ 2. Получение значений идентификатора клиента и секрета клиента
Для получения секрета может потребоваться настроить 2FA.
Шаг 3. Захват идентификатора Box Enterprise из консоли Box Администратор
Поиск идентификатора предприятия см. в документации.
Подключитесь к Box, чтобы начать сбор журналов событий в Microsoft Sentinel
Укажите следующие обязательные значения:
- Box Enterprise ID: (123456)
Check Point Соединитель CNAPP CloudGuard для Microsoft Sentinel
Поддерживается:Check Point
Соединитель данных CloudGuard позволяет принимать события безопасности из API CloudGuard в Microsoft Sentinel ™ с помощью платформы соединителя без кода Microsoft Sentinel. Соединитель поддерживает преобразования времени приема на основе DCR, которые анализируют входящие данные событий безопасности в пользовательские столбцы. Этот процесс предварительного анализа устраняет необходимость в синтаксическом анализе во время запроса, что приводит к повышению производительности запросов к данным.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API CloudGuard. Чтобы создать ключ API, ознакомьтесь с приведенными здесь инструкциями.
Инструкции по настройке:
Подключение событий безопасности CloudGuard к Microsoft Sentinel
Чтобы включить соединитель CloudGuard для Microsoft Sentinel, введите необходимые сведения ниже и нажмите кнопку Подключить.
- Идентификатор ключа API: (api_key)
- Секрет ключа API: (api_secret)
- URL-адрес конечной точки CloudGuard: (например, https://api.dome9.com)
- Фильтр: (вставить фильтр из CloudGuard)
- Включение и отключение подключения
соединитель оповещений Check Point cyberint (через платформу соединителей без кода)
Поддерживается:Cyberint
Cyberint, Check Point компания, предоставляет интеграцию Microsoft Sentinel для оптимизации критически важных оповещений и внедрения обогащенной аналитики угроз из решения Infinity External Risk Management в Microsoft Sentinel. Это упрощает процесс отслеживания состояния билетов с помощью автоматической синхронизации обновлений в разных системах. Используя эту новую интеграцию для Microsoft Sentinel, существующие клиенты Cyberint и Microsoft Sentinel могут легко извлекать журналы на основе результатов Cyberint в Microsoft Sentinel платформу.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
argsentdc_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Check Point ключ API Cyberint, URL-адрес Argos и имя клиента: требуется ключ API соединителя, URL-адрес Argos и имя клиента.
Инструкции по настройке:
Подключение оповещений о киберинте контрольных точек к Microsoft Sentinel
Чтобы включить соединитель, укажите необходимые сведения ниже и нажмите кнопку Подключить.
URL-адрес Argos — URL-адрес API Cyberint для вашего клиента (например, https://your_tenant.cyberint.io) Маркер API — маркер доступа к API Cyberint Имя клиента — имя компании (клиента), связанное со средами экземпляра Cyberint — список сред, разделенных запятыми для получения. Если пуст, все среды получаются.\n\nСерьезность — список серьезности, разделенный запятыми (низкий, средний, высокий, very_high). Если пуст, все уровни серьезности получаются.\n\nИнтервал опроса — как часто опрашивать новые оповещения в минутах (по умолчанию: 5)\n\nВключить вложения CSV в виде JSON — следует ли включать вложения CSV в качестве содержимого JSON в оповещениях (по умолчанию: false)
- URL-адрес Argos: (https://your_tenant.cyberint.io)
- Токен API: (маркер доступа API Cyberint)
- Имя клиента: (название компании (клиента), связанное с вашим экземпляром Cyberint)
- Среды: (список, разделенный запятыми (например, рабочая среда, промежуточная среда))
- Серьезность: (список с разделительной запятой (например, низкий, средний, высокий, very_high))
- Интервал опроса (в минутах): (частота опроса в минутах)
- Включить вложения CSV в виде JSON: (true или false)
- Включение и отключение подключения
Соединитель IOC Check Point Cyberint
Поддерживается:Cyberint
Cyberint, Check Point компания, обеспечивает интеграцию Microsoft Sentinel для приема индикаторов компрометации (IOCs) из решения Infinity External Risk Management в Microsoft Sentinel. Этот соединитель автоматически извлекает ежедневный веб-канал IOC, включая вредоносные IP-адреса, домены, URL-адреса и хэши файлов, дополненный контекстом угроз, таким как серьезность, достоверность и обнаруженные действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
iocsent_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Check Point ключ API Cyberint, URL-адрес Argos и имя клиента: требуется ключ API соединителя, URL-адрес Argos и имя клиента.
Инструкции по настройке:
Подключение Check Point канала IOC Cyberint к Microsoft Sentinel
Чтобы включить соединитель, укажите необходимые сведения ниже и нажмите кнопку Подключить.
URL-адрес Argos — URL-адрес API Cyberint для вашего клиента (например, https://your_tenant.cyberint.io) Маркер API — маркер доступа к API Cyberint Имя клиента — имя компании (клиента), связанное с вашим экземпляром Cyberint
- URL-адрес Argos: (https://your-company.cyberint.io)
- Токен API: (токен API)
- Имя клиента: (название компании (клиента), связанное с вашим экземпляром Cyberint)
- Включение и отключение подключения
Cisco ASA/FTD через AMA
Поддерживается корпорациейМайкрософт
Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Для сбора данных с виртуальных машин, отличных от Azure, на них должна быть установлена и включена Azure Arc. Подробнее
Инструкции по настройке:
Включение правила сбора данных
Журналы событий Cisco ASA/FTD собираются только из Linux агентов.
- Агент установки: <значение переменной, указанное во время установки>
Выполните следующую команду, чтобы установить и применить сборщик Cisco ASA/FTD:
- Значение: <значение переменной, указанное во время установки.>
Cisco Cloud Security (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Решение Cisco Cloud Security для Microsoft Sentinel позволяет принимать журналыCisco Secure Access и Cisco Umbrella, хранящиеся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Cloud Security .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cisco_Umbrella_dns_CL |
Да | Да |
Cisco_Umbrella_proxy_CL |
Да | Да |
Cisco_Umbrella_ip_CL |
Да | Да |
Cisco_Umbrella_cloudfirewall_CL |
Да | Да |
Cisco_Umbrella_firewall_CL |
Да | Да |
Cisco_Umbrella_dlp_CL |
Нет | Нет |
Cisco_Umbrella_ravpnlogs_CL |
Нет | Нет |
Cisco_Umbrella_audit_CL |
Нет | Нет |
Cisco_Umbrella_ztna_CL |
Нет | Нет |
Cisco_Umbrella_intrusion_CL |
Нет | Нет |
Cisco_Umbrella_ztaflow_CL |
Нет | Нет |
Cisco_Umbrella_fileevent_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API Amazon S3. Для REST API Amazon S3 требуются идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3 .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API Amazon S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ПРИМЕЧАНИЕ: Этот соединитель был обновлен для поддержки схемы журнала Cisco Cloud Security версии 14.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.
ПРИМЕЧАНИЕ. Этот соединитель использует средство синтаксического анализа на основе функции Kusto для нормализации полей. Выполните следующие действия , чтобы создать псевдоним функции Kusto Cisco_Umbrella.
ШАГ 1. Настройка коллекции журналов Cisco Cloud Security
Ознакомьтесь с документацией и следуйте инструкциям по настройке ведения журнала и получению учетных данных.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанный Функции Azure
ВАЖНО: Перед развертыванием соединителя данных Cisco Cloud Security необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также учетные данные авторизации REST API Amazon S3.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Cisco Cloud Security с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey Примечание. Для S3Bucket используйте значение, которое Cisco называет пути к данным контейнера S3 , и добавьте / (косая черта) в конец значения.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Cisco Cloud Security с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки Функции Azure.
- Скачайте файл приложения Функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): WorkspaceID WorkspaceKeyKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Cisco Cloud Security (с эластичным планом уровня "Премиум") (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Cisco Umbrella позволяет принимать события Cisco Umbrella, хранящиеся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella .
ПРИМЕЧАНИЕ: Этот соединитель данных использует план Функции Azure Уровня "Премиум" для включения возможностей безопасного приема данных и будет нести дополнительные затраты. Дополнительные сведения о ценах см. здесь.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cisco_Umbrella_dns_CL |
Да | Да |
Cisco_Umbrella_proxy_CL |
Да | Да |
Cisco_Umbrella_ip_CL |
Да | Да |
Cisco_Umbrella_cloudfirewall_CL |
Да | Да |
Cisco_Umbrella_firewall_CL |
Да | Да |
Cisco_Umbrella_dlp_CL |
Нет | Нет |
Cisco_Umbrella_ravpnlogs_CL |
Нет | Нет |
Cisco_Umbrella_audit_CL |
Нет | Нет |
Cisco_Umbrella_ztna_CL |
Нет | Нет |
Cisco_Umbrella_intrusion_CL |
Нет | Нет |
Cisco_Umbrella_ztaflow_CL |
Нет | Нет |
Cisco_Umbrella_fileevent_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API Amazon S3. Для REST API Amazon S3 требуются идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3 .
- виртуальная сеть разрешения (для частного доступа). Для доступа к частной учетной записи хранения требуются разрешения участника сети в виртуальная сеть и подсети. Подсеть должна быть делегирована Microsoft.Web/serverFarms для интеграции с виртуальной сетью приложения-функции.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API Amazon S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ПРИМЕЧАНИЕ: Этот соединитель был обновлен для поддержки схемы зонтичного журнала cisco версии 14.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.
ПРИМЕЧАНИЕ. Этот соединитель использует средство синтаксического анализа на основе функции Kusto для нормализации полей. Выполните следующие действия , чтобы создать псевдоним функции Kusto Cisco_Umbrella.
ШАГ 1. Предварительные требования к сети для частного доступа
ВАЖНО: При развертывании с доступом к частной учетной записи хранения убедитесь, что выполнены следующие предварительные требования к сети:
- виртуальная сеть: должна быть доступна существующая виртуальная сеть (виртуальная сеть)
- Подсеть: выделенная подсеть в виртуальной сети должна быть делегирована Microsoft.Web/serverFarms для интеграции виртуальной сети приложения-функции.
-
Делегирование подсети. Настройте делегирование подсети с помощью портала Azure, шаблона ARM или Azure CLI:
- портал Azure. Перейдите в раздел Виртуальные сети → Выберите виртуальную сеть → подсети → Выберите подсеть → Делегировать подсеть в службу → Выберите Microsoft.Web/serverФармы
- Azure CLI:
az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
- Частные конечные точки. Развертывание создаст частные конечные точки для служб учетных записей хранения (BLOB-объектов, файлов, очередей, таблиц) в одной подсети.
ШАГ 2. Настройка коллекции журналов Cisco Umbrella
Ознакомьтесь с документацией и следуйте инструкциям по настройке ведения журнала и получению учетных данных.
ШАГ 3. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанный Функции Azure
ВАЖНО: Перед развертыванием соединителя данных Cisco Umbrella необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также учетные данные авторизации REST API Amazon S3.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Cisco Umbrella с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey.
Для развертывания приватного доступа. Также введите existingVnetName, existingVnetResourceGroupName и existingSubnetName (убедитесь, что подсеть делегирована Microsoft.Web/serverFarms). Примечание. Для S3Bucket используйте значение, которое Cisco называет путь к данным контейнера S3 , и добавьте / (косая черта) в конец значения.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Cisco Umbrella с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки Функции Azure.
- Скачайте файл приложения Функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): WorkspaceID WorkspaceKeyKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Безопасность Cisco Duo (с помощью Функции Azure)
Поддерживается:Cisco Systems
Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов проверки подлинности, журналов администраторов, журналов телефонии, журналов регистрации в автономном режиме и событий монитора доверия в Microsoft Sentinel с помощью API Администратор Cisco Duo. Дополнительные сведения см. в документации по API .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoDuo_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Cisco Duo. Для API Cisco Duo требуются учетные данные API Cisco Duo с разрешением Предоставление разрешения на чтение журнала . Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Cisco Duo для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, что CiscoDuo развертывается вместе с решением Microsoft Sentinel.
ШАГ 1. Получение учетных данных АДМИНИСТРАТОР API Cisco Duo
- Следуйте инструкциям, чтобы получить ключ интеграции, секретный ключ и имя узла API. Используйте предоставление разрешения на чтение журнала на 4-м шаге инструкций.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера, которые легко доступны.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите ключ интеграции Cisco Duo, секретный ключ Cisco Duo, имя узла API Cisco Duo, типы журналов Cisco Duo, идентификатор рабочей области Microsoft Sentinel Microsoft Sentinel общий ключ.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://WORKSPACE_ID.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Cisco ETD (с использованием Функции Azure)
Поддерживается:Н/Д
Соединитель извлекает данные из API ETD для анализа угроз.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoETD_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Email API защиты от угроз, ключ API, идентификатор клиента и секрет. Убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API ETD для извлечения журналов в Microsoft Sentinel.
Выполните действия по развертыванию, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя данных ETD у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Cisco ETD с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Вердикты, Регион ETD.
Нажмите кнопку Создать , чтобы развернуть.
Cisco Meraki (с помощью REST API)
Поддерживается корпорациейМайкрософт
Соединитель Cisco Meraki позволяет легко подключать события организации Cisco Meraki (события безопасности, изменения конфигурации и запросы API) к Microsoft Sentinel. Соединитель данных использует REST API Cisco Meraki для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные и прием в ASIM и пользовательские таблицы в рабочей области Log Analytics. Этот соединитель данных использует такие возможности, как фильтрация времени приема на основе DCR, нормализация данных.
Поддерживаемая схема ASIM:
- Сетевой сеанс
- Веб-сеанс
- Событие аудита
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimNetworkSessionLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ REST API Cisco Meraki. Включите доступ к API в Cisco Meraki и создайте ключ API. Дополнительные сведения см. в официальной документации по Cisco Meraki.
- Идентификатор организации Cisco Meraki. Получите идентификатор организации Cisco Meraki для получения событий безопасности. Выполните действия, описанные в документации , чтобы получить идентификатор организации с помощью ключа API Meraki, полученного на предыдущем шаге.
Инструкции по настройке:
Подключение событий Cisco Meraki к Microsoft Sentinel
В настоящее время этот соединитель позволяет принимать события из следующей конечной точки REST API Cisco Meraki :
- Получение событий безопасности устройства организации Этот соединитель анализирует события оповещений IDS в таблицу ASimNetworkSessionLogs, а события сканирования файлов — в таблицу ASimWebSessionLogs.
- Получение запросов API организации Этот соединитель анализирует события в таблице ASimWebSessionLogs.
- Получение изменений в конфигурации организации Этот соединитель анализирует события в таблице ASimAuditEventLogs.
- Идентификатор организации: (OrganizationId)
- Ключ API: (ApiKey)
- Включение и отключение подключения
Безопасная конечная точка Cisco (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных безопасной конечной точки Cisco (ранее — AMP для конечных точек) предоставляет возможность приема журналов аудита и событий конечной точки Cisco Secure в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Да | Да |
CiscoSecureEndpointEventsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные и регионы API безопасной конечной точки Cisco. Чтобы создать учетные данные API и понять регионы, перейдите по ссылке на документ, приведенный здесь. Щелкните здесь.
Инструкции по настройке:
Подключение безопасной конечной точки Cisco к Microsoft Sentinel
Чтобы принять данные из безопасной конечной точки Cisco в Microsoft Sentinel, необходимо нажать кнопку Добавить учетную запись ниже, а затем появится всплывающее окно, чтобы заполнить такие сведения, как Email, организация, идентификатор клиента, ключ API и регион, указать необходимые сведения и нажать кнопку Подключиться. Подключенные организации или сообщения электронной почты отображаются в следующей сетке.
- Сетка соединителей данных (настройка на портале)
Программно определяемая глобальная сеть Cisco
Поддерживается:Cisco Systems
Соединитель данных Cisco Software Defined WAN (SD-WAN) предоставляет возможность приема данных системного журнала Cisco SD-WAN и Netflow в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
CiscoSDWANNetflow_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Чтобы принять данные системного журнала Cisco SD-WAN и Netflow в Microsoft Sentinel выполните следующие действия.
1. Шаги по приему данных системного журнала в Microsoft sentinel
агент Azure Monitor будет использоваться для сбора данных системного журнала в Microsoft sentinel. Для этого сначала необходимо создать сервер Azure Arc для виртуальной машины, с которого будут отправляться данные системного журнала.
1.1. Шаги по добавлению сервера Azure Arc
- В портал Azure перейдите в раздел Серверы — Azure Arc и нажмите кнопку Добавить.
- Выберите Создать скрипт в разделе Добавление одного сервера. Пользователь также может создавать скрипты для нескольких серверов.
- Просмотрите сведения на странице Предварительные требования и нажмите кнопку Далее.
- На странице Сведения о ресурсе укажите подписку и группу ресурсов метода Microsoft Sentinel, Регион, Операционная система и Подключение. Нажмите кнопку "Далее".
- На странице Теги просмотрите предложенные по умолчанию теги физического расположения и введите значение или укажите один или несколько настраиваемых тегов для поддержки ваших стандартов. Затем нажмите кнопку Далее.
- Нажмите кнопку Скачать, чтобы сохранить файл скрипта.
- Теперь, когда вы создали скрипт, следующим шагом является его запуск на сервере, который вы хотите подключить к Azure Arc.
- Если у вас есть Azure виртуальной машины, выполните действия, описанные в ссылке, прежде чем запускать скрипт.
- Запустите скрипт с помощью следующей команды:
./<ScriptName>.sh - После установки агента и настройки его подключения к серверам с поддержкой Arc Azure перейдите к портал Azure, чтобы убедиться, что сервер успешно подключен. Просмотрите компьютер в портал Azure. Ссылка на ссылку:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm
1.2. Действия по созданию правила сбора данных (DCR)
- На портале Azure найдите Монитор. В разделе Параметры выберите Правила сбора данных и Нажмите кнопку Создать.
- На панели Основные сведения введите имя правила, подписку, группу ресурсов, регион и тип платформы.
- Выберите Далее: ресурсы.
- Выберите Добавить ресурсы. Используйте фильтры, чтобы найти виртуальную машину, которая будет использоваться для сбора журналов.
- Выберите виртуальную машину. Нажмите Применить.
- Выберите Далее: собрать и доставить.
- Выберите Добавить источник данных. В поле Тип источника данных выберите Linux системный журнал.
- Для параметра Минимальный уровень журнала оставьте значения по умолчанию LOG_DEBUG.
- Выберите Далее: назначение.
- Выберите Добавить назначение и добавьте тип назначения, подписку и учетную запись или пространство имен.
- Выберите Добавить источник данных. Выберите Далее: проверка и создание.
- Нажмите Создать. Подождите 20 минут. В Microsoft Sentinel или мониторе Azure убедитесь, что агент Azure Monitor запущен на виртуальной машине. Ссылка на ссылку:/azure/sentinel/forward-syslog-monitor-agent
2. Шаги по приему данных Netflow в Microsoft sentinel
Для приема данных Netflow в Microsoft sentinel на виртуальной машине необходимо установить и настроить Filebeat и Logstash. После настройки виртуальная машина сможет получать данные netflow через настроенный порт, и эти данные будут приниматься в рабочую область Microsoft sentinel.
2.1. Установка filebeat и logstash
- Сведения об установке filebeat и logstash с помощью apt см. в этом документе:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
- Для установки filebeat и logstash для RedHat на основе Linux (yum) выполните следующие действия:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum
2.2. Настройка Filebeat для отправки событий в Logstash
- Изменить файл filebeat.yml:
vi /etc/filebeat/filebeat.yml - Закомментируйте раздел Выходные данные Elasticsearch.
- Раскомментируйте раздел выходных данных Logstash (раскомментируйте только эти две строки)- output.logstash hosts: ["localhost:5044"]
- Если вы хотите отправить данные, отличные от порта по умолчанию, например 5044, в разделе Выходные данные Logstash, замените номер порта в поле hosts. (Примечание. Этот порт следует добавить в conf-файл при настройке logstash.)
- В разделе filebeat.inputs закомментируйте существующую конфигурацию и добавьте следующую конфигурацию: - type: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:
- /etc/filebeat/custom.yml detect_sequence_reset: true включено: true
- Если в разделе Входные данные Filebeat вы хотите получить данные, отличные от порта по умолчанию, т. е. порт 2055, замените номер порта в поле узла.
- Добавьте указанный custom.yml файл в каталог /etc/filebeat/.
- Откройте входной и выходной порт filebeat в брандмауэре.
- Выполните команду:
firewall-cmd --zone=public --permanent --add-port=2055/udp - Выполните команду:
firewall-cmd --zone=public --permanent --add-port=5044/udp
Примечание. Если для ввода и вывода файлового потока добавлен пользовательский порт, откройте этот порт в брандмауэре.
2.3. Настройка Logstash для отправки событий в Microsoft Sentinel
- Установите подключаемый модуль Log Analytics Azure:
- Выполните команду:
sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics - Сохраните ключ рабочей области Log Analytics в хранилище ключей Logstash. Ключ рабочей области можно найти на портале Azure в разделе Рабочая область > Log Analytics Выберите рабочую область > В разделе Параметры выберите > Инструкции агента Log Analytics.
- Скопируйте первичный ключ и выполните следующие команды:
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKeysudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey- Создайте файл конфигурации /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Введите номер порта вывода, настроенный во время настройки filebeat, т. е. filebeat.yml файл .) } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }
Примечание. Если таблица отсутствует в Microsoft sentinel, она создаст новую таблицу в sentinel.
2.4. Запуск Filebeat:
- Откройте терминал и выполните команду:
systemctl start filebeat - Эта команда запустит запуск filebeat в фоновом режиме. Чтобы просмотреть журналы, остановите файлообмен (
systemctl stop filebeat), а затем выполните следующую команду:filebeat run -e
2.5 Запустите Logstash:
- В другом терминале выполните команду:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf & - Эта команда запустит запуск logstash в фоновом режиме. Чтобы просмотреть журналы logstash, завершите описанный выше процесс и выполните следующую команду:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf
Claroty xDome
Поддерживается службой поддержкиклиентов xDome
Claroty xDome предоставляет комплексные возможности управления безопасностью и оповещениями для медицинских и промышленных сетевых сред. Он предназначен для сопоставления нескольких типов источников, идентификации собранных данных и их интеграции в модели данных Microsoft Sentinel. Это позволяет отслеживать все потенциальные угрозы в медицинских и промышленных средах в одном расположении, что приводит к более эффективному мониторингу безопасности и укреплению состояния безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
1. Linux конфигурации агента syslog
Установите и настройте агент Linux для сбора сообщений системного журнала CEF и их пересылки в Microsoft Sentinel.
Обратите внимание, что данные из всех регионов будут храниться в выбранной рабочей области.
1.1. Выбор или создание Linux компьютера
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel этот компьютер может находиться в локальной среде, Azure или других облаках.
1.2. Установка сборщика CEF на Linux компьютере
Установите microsoft Monitoring Agent на Linux компьютере и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF через порт TCP 514.
Убедитесь, что на компьютере есть Python, используя следующую команду: python --version.
На компьютере должны быть повышенные разрешения (sudo).
- Выполните следующую команду, чтобы установить и применить значение переменной CEF сборщика:: <, указанное во время установки.>
2. Пересылка журналов общего формата событий (CEF) в агент syslog
Настройте интеграцию Claroty xDome — Microsoft Sentinel для сбора сообщений системного журнала CEF и их пересылки в Microsoft Sentinel.
3. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на вашем компьютере есть Python, используя следующую команду: python --version
На компьютере должны быть повышенные разрешения (sudo)
- Выполните следующую команду, чтобы проверить подключение:: <значение переменной, указанное во время установки>
**4. Защита компьютера **
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
Cloudflare (предварительная версия) (с помощью Функции Azure)
Поддерживается:Cloudflare
Соединитель данных Cloudflare предоставляет возможность приема журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Хранилище BLOB-объектов Azure. Дополнительные сведения см. в документации по Cloudflare .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cloudflare_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Хранилище BLOB-объектов Azure строка подключения и имя контейнера: Хранилище BLOB-объектов Azure строка подключения и имя контейнера, куда журналы отправляются Cloudflare Logpush. Дополнительные сведения см. в статье Создание контейнера Хранилище BLOB-объектов Azure.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом Cloudflare, которая развертывается вместе с решением Microsoft Sentinel.
ШАГ 1. Настройка Cloudflare Logpush
Ознакомьтесь с документацией по настройке Cloudflare Logpush в Microsoft Azure
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Cloudflare укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Cloudflare с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя контейнера Хранилище BLOB-объектов Azure, строку подключения Хранилище BLOB-объектов Azure, идентификатор рабочей области Microsoft Sentinel, Microsoft Sentinel общий ключ.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Cloudflare с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, CloudflareXX).
e. Выберите среду выполнения: Выберите Python 3.8.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://WORKSPACE_ID.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Cloudflare (использование контейнера BLOB-объектов) (через платформу соединителя без кода)
Поддерживается:Cloudflare
Соединитель данных Cloudflare предоставляет возможность приема журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Хранилище BLOB-объектов Azure. Дополнительные сведения см. в документации по Cloudflare.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CloudflareV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Создание учетной записи хранения и контейнера. Перед настройкой logpush в Cloudflare сначала создайте учетную запись хранения и контейнер в Microsoft Azure. Используйте это руководство , чтобы узнать больше о контейнере и BLOB-объекте. Выполните действия, описанные в документации, чтобы создать учетную запись хранения Azure.
- Создание URL-адреса SAS большого двоичного объекта: требуются разрешения на создание и запись. Дополнительные сведения о маркере и URL-адресе SAS BLOB-объектов см. в документации .
- Сбор журналов из Cloudflare в контейнер BLOB-объектов. Выполните действия, описанные в документации по сбору журналов из Cloudflare в контейнер BLOB-объектов.
Инструкции по настройке:
Подключение журналов Cloudflare к Microsoft Sentinel
Чтобы включить журналы Cloudflare для Microsoft Sentinel, укажите необходимые сведения ниже и щелкните Подключиться.
- URL-адрес контейнера BLOB-объектов, из которого требуется собирать данные:
- Имя группы ресурсов учетной записи хранения контейнера BLOB-объектов:
- Расположение учетной записи хранения контейнера BLOB-объектов:
- Идентификатор подписки на учетную запись хранения контейнера BLOB-объектов:
- Имя раздела сетки событий учетной записи хранения контейнера BLOB-объектов, если она существует. иначе оставьте пустым.:
- Включение и отключение подключения
Cognni
Поддерживается:Cognni
Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономного сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важной информации, понимать серьезность инцидентов и исследовать сведения, необходимые для устранения, достаточно быстро, чтобы изменить ситуацию.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CognniIncidents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение к Cognni
- Перейдите на страницу интеграции Cognni
- Нажмите кнопку "Подключиться" в поле "Microsoft Sentinel".
- Скопируйте и вставьте "workspaceId" и "sharedKey" (снизу) в связанные поля на экране интеграции Cognni
- Щелкните боттон "Подключить" , чтобы завершить настройку.
В скором времени все обнаруженные инциденты Cognni будут перенаправлены сюда (в Microsoft Sentinel).
Не пользователь Cognni? Присоединяйтесь к нам
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Общий ключ: <значение переменной, указанное во время установки>
Согласованность (использование Функции Azure)
Поддерживается:Связность
Приложения-функции «Сплоченность» предоставляют возможность приема оповещений программы-шантажиста в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cohesity_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Хранилище BLOB-объектов Azure строка подключения и имя контейнера: Хранилище BLOB-объектов Azure строка подключения и имя контейнера
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure, которые подключаются к Хранилище BLOB-объектов Azure и KeyVault. Это может привести к дополнительным затратам. Дополнительные сведения см. на странице цен на Функции Azure, Хранилище BLOB-объектов Azure странице цен и Azure на странице цен на KeyVault.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Получение ключа API Связности DataHawk (см. инструкцию по устранению неполадок 1)
Шаг 2. Регистрация Azure приложения (ссылка) и сохранение идентификатора приложения (клиента), идентификатора каталога (клиента) и значения секрета (инструкции). Предоставьте ему разрешение Azure хранилище (user_impersonation). Кроме того, назначьте приложению роль "участник Microsoft Sentinel" в соответствующей подписке.
ШАГ 3. Развертывание соединителя и связанного Функции Azure.
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных "Сплоченность" с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите параметры, созданные на предыдущих шагах
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
CommvaultSecurityIQ
Поддерживается:Commvault
Эта функция Azure позволяет пользователям Commvault принимать оповещения и события в экземпляре Microsoft Sentinel. С помощью правил аналитики Microsoft Sentinel может автоматически создавать Microsoft Sentinel инциденты из входящих событий и журналов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommvaultAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- URL-адрес конечной точки среды Commvault. Обязательно следуйте документации и задайте значение секрета в KeyVault.
- Commvault QSDK Token: обязательно следуйте документации и задайте значение секрета в KeyVault.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к экземпляру Commvault для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке маркера QSDK Commvalut
Следуйте этим инструкциям, чтобы создать токен API.
ШАГ 2. Развертывание соединителя и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя данных CommvaultSecurityIQ необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также URL-адрес конечной точки Commvault и маркер QSDK.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных IQ Commvault Security.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите идентификатор рабочей области, ключ рабочей области и(или) Другие обязательные поля и нажмите кнопку Далее.
Нажмите кнопку Создать , чтобы развернуть.
Соединитель push-уведомлений Контрастный ADR
Поддерживается:Contrast Security
Соединитель Contrast Security предоставляет возможность приема событий атак и инцидентов из приложения Contrast Application Detection and Response (ADR) в Microsoft Sentinel. Этот соединитель получает данные через механизм отправки веб-перехватчика с использованием проверки подлинности OAuth.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ContrastADRAttackEvents_CL |
Нет | Нет |
ContrastADRIncidents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID (при использовании автоматически созданного приложения). Обычно требуется роль разработчика приложений или выше.
- Microsoft Azure: разрешение на создание и настройку ресурсов Azure (DCE, DCR, таблицы) и назначение ролей RBAC. Обычно требуются роли участника и администратора доступа пользователей.
- Доступ к веб-перехватчику контрастного ADR. Доступ к платформе Контрастный ADR для настройки веб-перехватчика с параметрами проверки подлинности OAuth.
Инструкции по настройке:
1. Развертывание ресурсов соединителя
Разверните необходимые ресурсы Azure для приема данных Contrast ADR.
Выбор варианта развертывания
Выберите один из следующих вариантов развертывания в зависимости от требований:
Вариант A. Автоматическое создание приложения Microsoft Entra (рекомендуется)
При нажатии кнопки Развернуть контрастный соединитель CCF ADR автоматически создаются:
- Конечная точка сбора данных (DCE)
- Правило сбора данных (DCR) с потоками для событий и инцидентов атак
- Таблицы Log Analytics (ContrastADRAttackEvents_CL и ContrastADRIncidents_CL)
- Microsoft Entra приложение с учетными данными OAuth
- Назначение роли (издатель метрик мониторинга) в DCR
После развертывания: Все значения конфигурации (идентификатор клиента, идентификатор клиента, секрет клиента, URI DCE, неизменяемый идентификатор DCR) будут автоматически заполнены ниже для простого копирования и вставки на платформу Contrast.
Вариант Б. Использование ранее существующего приложения Microsoft Entra (BYOA)
При нажатии кнопки Развернуть контрастный соединитель CCF ADR будут созданы:
- Конечная точка сбора данных (DCE)
- Правило сбора данных (DCR) с потоками для событий и инцидентов атак
- Таблицы Log Analytics (ContrastADRAttackEvents_CL и ContrastADRIncidents_CL)
- приложение Microsoft Entra (это можно игнорировать)
Когда следует использовать: если у вас есть приложение Entra, которое вы хотите повторно использовать по соображениям безопасности или соответствия требованиям. Требуются дополнительные действия.
- После развертывания вручную назначьте существующему субъекту-службе приложения Entra роль издателя метрик мониторинга в созданном DCR.
- Использование идентификатора клиента и секрета клиента приложения Entra (игнорируйте автоматически созданные ниже)
- Используйте URI DCE и неизменяемый идентификатор DCR ниже в конфигурации веб-перехватчика Contrast.
Нажмите кнопку Развернуть, чтобы начать:
2. Настройка контрастного веб-перехватчика ADR
Скопируйте следующие значения, чтобы настроить интеграцию Microsoft Sentinel в платформе Contrast ADR.
Для параметра A (автоматически созданное приложение Entra): используйте все автоматически заполненные значения ниже. Для параметра B (существующее приложение Entra): Используйте URI DCE, неизменяемый идентификатор DCR и имена Stream ниже, но используйте идентификатор клиента, идентификатор клиента и секрет клиента приложения Entra.
Azure значения конфигурации:
- Идентификатор клиента: <значение переменной, указанное во время установки>
- Идентификатор приложения (клиента):< значение переменной, указанное во время установки>
- Секрет клиента: <значение переменной, указанное во время установки>
- URI <конечной точки сбора данных (DCE): переменное значение, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных (DCR):< значение переменной, указанное во время установки>
- События атаки Stream имя: <значение переменной, указанное во время установки>
- Инциденты Stream имя: <значение переменной, указанное во время установки>
Настройка в контрастной платформе ADR
- Войдите на платформу Contrast ADR
- Перейдите в раздел Интеграция > администрирования > Microsoft Sentinel
- Скопируйте и вставьте все значения конфигурации, приведенные выше:
- Идентификатор клиента
- Идентификатор приложения (клиента)
- Секрет клиента
- URI конечной точки сбора данных (DCE)
- Неизменяемый идентификатор правила сбора данных (DCR)
- Stream имя событий атаки
- Имя Stream инцидентов
- Нажмите кнопку Сохранить , чтобы завершить интеграцию.
Платформа Contrast автоматически настроит конечные точки проверки подлинности OAuth и данные, используя эти значения.
3. Проверка приема данных
Убедитесь, что данные передаются из Контрастного ADR в Microsoft Sentinel.
Проверка
- Активация события тестовой атаки в Контрастном ADR
- Подождите 5–10 минут, пока данные не появятся в Microsoft Sentinel
- Выполните следующий запрос, чтобы проверить события атаки:
ContrastADRAttackEvents_CL
| take 10
- Проверка данных об инцидентах:
ContrastADRIncidents_CL
| take 10
- Проверьте наличие подключения:
ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)
Если отображаются данные, а IsConnected возвращает значение true, соединитель настроен правильно!
Экспортер соединителя Corelight
Поддерживается:Corelight
Соединитель данных Corelight позволяет реагировать на инциденты и охотникам за угрозами, которые используют Microsoft Sentinel для более быстрой и эффективной работы. Соединитель данных позволяет принимать события из Zeek и Suricata через датчики Corelight в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Corelight |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, corelight, развернутой с решением Microsoft Sentinel.
1. Получение файлов
Обратитесь к своему TAM, SE илиinfo@corelight.com, чтобы получить файлы, необходимые для интеграции Microsoft Sentinel.
2. Воспроизведение примеров данных.
Воспроизведение примеров данных для создания необходимых таблиц в рабочей области Log Analytics.
- Отправка примеров данных (требуется только один раз для рабочей области Log Analytics):< значение переменной, указанное во время установки>
3. Установите пользовательский экспорт.
Установите пользовательский экспорт или контейнер logstash.
4. Настройте датчик Corelight для отправки журналов в агент Log Analytics Azure.
Используя следующие значения, настройте датчик Corelight для использования Microsoft Sentinel экспорта. Кроме того, можно настроить контейнер logstash с этими значениями и настроить датчик для отправки JSON через TCP в этот контейнер на соответствующем порту.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Ключ основной рабочей области: <переменное значение, указанное во время установки>
Cortex XDR — инциденты
Поддерживается:DEFEND Ltd.
Настраиваемый соединитель данных от DEFENSE для использования API Cortex для приема инцидентов с платформы Cortex XDR в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CortexXDR_Incidents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные API Cortex. Для REST API требуется токен API Cortex . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
Включение API XDR Для Cortex
Подключите Cortex XDR к Microsoft Sentinel через API Cortex для обработки инцидентов Cortex.
Крибль
Поддерживается:Cribl
Соединитель Cribl позволяет легко подключить журналы Cribl (Cribl выпуск Enterprise - Standalone) с Microsoft Sentinel. Это позволяет получить более подробную информацию о безопасности конвейеров данных организации.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CriblInternal_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Инструкции по установке и настройке cribl Stream для Microsoft Sentinel
Используйте документацию из этого репозитория Github и настройте Cribl Stream с помощью
https://docs.cribl.io/stream/usecase-azure-workspace/
Соединитель данных API CrowdStrike (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных CrowdStrike позволяет принимать журналы из API CrowdStrike в Microsoft Sentinel. Этот соединитель предоставляет возможность приема оповещений, обнаружений, узлов, случаев и уязвимостей CrowdStrike в Microsoft Sentinel. Этот соединитель основан на платформе соединителя Microsoft Sentinel без кода и использует API CrowdStrike для получения журналов. Он поддерживает преобразования времени приема на основе DCR, чтобы запросы могли выполняться более эффективно. Дополнительные сведения см. в документации по API CrowdStrike .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrikeAlerts |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Клиент и области API Crowdstrike OAuth2: оповещения, интеграции API, журналы приложений, случаи, правила корреляции, обнаружения, узлы, ресурсы, инциденты, помещенные в карантин Files, уязвимости требуются для REST API. Дополнительные сведения см. в разделе API.
Инструкции по настройке:
Подключение CrowdStrike к Microsoft Sentinel
Примечание. Важное примечание. API инцидентов полностью списан. Вместо этого используйте новый тип данных Cases.
Для сбора данных из CrowdStrike необходимо предоставить следующие ресурсы.
1. Базовый URL-адрес API . Для сбора данных из CrowdStrike вам потребуется базовый URL-адрес API.
2. Идентификатор клиента . Для сбора данных из CrowdStrike вам потребуется идентификатор клиента.
3. Секрет клиента . Для сбора данных из CrowdStrike вам потребуется секрет клиента.
Подробные инструкции по получению базового URL-адреса API, идентификатора клиента и секрета клиента см. в руководстве по соединителю.
- Сетка соединителей данных (настройка на портале)
Обнаружение запросов (после успешного подключения)
После приема журналов таблица CrowdStrikeDetections содержит отдельные записи оповещений , сгруппированные по aggregate_id. Чтобы просмотреть истинное поведение на уровне обнаружения, используйте следующий запрос KQL для агрегирования оповещений по группе обнаружения:
CrowdStrikeDetections
| summarize
AlertCount = count(),
FirstSeen = min(CreatedTimestamp),
LastSeen = max(CreatedTimestamp),
MaxSeverity = max(Severity)
by AggregateId
CrowdStrike Falcon Adversary Intelligence (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель CrowdStrike Falcon Indicators of Compromise извлекает индикаторы компрометации из API Falcon Intel и отправляет их Microsoft Sentinel Intel Threat.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelIndicators |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Идентификатор клиента и секрет клиента CrowdStrike API: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRETCROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь индикаторы (Falcon Intelligence) область.
Инструкции по настройке:
ШАГ 1 . Создание учетных данных API CrowdStrike.
Убедитесь, что выбран параметр "Индикаторы (Falcon Intelligence)" область "чтение"
ШАГ 2. Регистрация приложения Entra с помощью секрета клиента.
Предоставьте субъекту приложения Entra назначение роли "участник Microsoft Sentinel" в соответствующей рабочей области Log Analytics. Назначение ролей Azure.
ШАГ 3. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя CrowdStrike Falcon Indicator of Compromise необходимо иметь идентификатор рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя CrowdStrike Falcon Adversary Intelligence с использованием темпа ARM.
Нажмите кнопку Развернуть в Azure ниже.
Укажите следующие параметры: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель CrowdStrike Falcon Adversary Intelligence с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, CrowdStrikeFalconIOCXXXXX).
e. Выберите среду выполнения: Выберите Python 3.12.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID
После ввода всех параметров приложения нажмите кнопку Сохранить.
Репликатор данных CrowdStrike Falcon (AWS S3) (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель Crowdstrike Falcon Data Replicator (S3) предоставляет возможность приема данных о событиях FDR для Microsoft Sentinel из контейнера AWS S3, где были потоковой передачи журналов FDR. Соединитель позволяет получать события от агентов Falcon, что помогает анализировать потенциальные риски безопасности, анализировать использование командой совместной работы, диагностировать проблемы конфигурации и многое другое.
ПРИМЕЧАНИЕ.
1. Лицензия CrowdStrike FDR должна быть доступна & включена.
2. Соединитель требует, чтобы в AWS была настроена роль IAM, чтобы разрешить доступ к контейнеру AWS S3, и он может не подходить для сред, использующих управляемые контейнеры CrowdStrike.
3. Для сред, использующих контейнеры, управляемые CrowdStrike, настройте соединитель CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Требования. Чтобы использовать функцию репликатора данных Falcon, необходимо следующее:
Подписка: 1.1. Репликатор данных Falcon. 1.2. Falcon Insight XDR.
Роли: 2.1. Администратор Falcon.
Настройка CrowdStrike & сред AWS. Чтобы настроить доступ к AWS, используйте следующие два шаблона для настройки среды AWS. Это позволит отправлять журналы из контейнера S3 в рабочую область Log Analytics.
Для каждого шаблона создайте Stack в AWS:
- Перейдите к AWS CloudFormation Stacks.
- Выберите параметр "Указать шаблон", а затем "Отправить файл шаблона", щелкнув "Выбрать файл" и выбрав соответствующий файл шаблона CloudFormation, указанный ниже. щелкните "Выбрать файл" и выберите скачанный шаблон.
- Нажмите кнопки "Далее" и "Создать стек".
Убедитесь, что контейнер будет создан в том же регионе AWS, что и ваш CID Falcon, где подготовлен веб-канал FDR. | Регион CrowdStrike | Регион AWS | |-----------------|-----------| | США-1 | us-west-1 | | США-2 | us-west-2 | | EU-1 | eu-central-1
- Шаблон 1. Развертывание проверки подлинности OpenID Connect: <значение переменной, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWS CrowdStrike: <значение переменной, предоставленное во время> установки. Использование собственного контейнера S3. Чтобы использовать собственный контейнер S3, можно обратиться к следующему руководству . Используйте собственный контейнер S3 или выполните следующие действия:
- Создайте обращение в службу поддержки со следующим именем: Использование самостоятельного контейнера S3 для FDR
- Добавьте следующие сведения: 2.1. CID Falcon, где подготовлен ваш канал FDR 2.2. Укажите, какие типы событий вы хотите предоставить в этом новом веб-канале FDR. 2.3. Укажите, какие типы событий вы хотите предоставить в этом новом веб-канале FDR. 2.4. Не используйте секции.
| Тип события | Префикс S3 |
|---|---|
| Основные события | Данных/ |
| Вторичные события | fdrv2/ |
- Подключение новых сборщиков. Чтобы включить AWS S3 для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Репликатор данных CrowdStrike Falcon (CrowdStrike Managed AWS-S3) (с помощью функции Azure) (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать данные FDR в Microsoft Sentinel с помощью Функции Azure для поддержки оценки потенциальных рисков безопасности, анализа действий совместной работы, выявления проблем конфигурации и других операционных аналитических сведений.
ПРИМЕЧАНИЕ.
1. Лицензия CrowdStrike FDR должна быть доступна & включена.
2. Соединитель использует проверку подлинности на основе ключа & секрета и подходит для управляемых контейнеров CrowdStrike.
3. Для сред, использующих полностью принадлежащий контейнер AWS S3, корпорация Майкрософт рекомендует использовать соединитель CrowdStrike Falcon Data Replicator (AWS S3).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrikeReplicatorV2 |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения для учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL. Дополнительные сведения см. в разделе Извлечение данных. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По вашему запросу они создадут управляемый Контейнер Amazon Web Services (AWS) S3 для краткосрочного хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к AWS SQS/S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Необходимые компоненты
- Настройка FDR в CrowdStrike. Чтобы включить CrowdStrike FDR, необходимо обратиться в службу поддержки CrowdStrike .
- После включения Функции FDR CrowdStrike в консоли CrowdStrike перейдите в раздел Поддержка —> клиенты и ключи API.
- Необходимо создать новые учетные данные, чтобы скопировать идентификатор ключа доступа AWS, секретный ключ доступа AWS, URL-адрес очереди SQS и регион AWS.
- Регистрация приложения AAD. Чтобы DCR ввести данные в log Analytics, необходимо использовать приложение AAD.
- Следуйте инструкциям здесь (шаги 1–5), чтобы получить идентификатор клиента AAD, идентификатор клиента AAD и секрет клиента AAD.
- Для идентификатора участника AAD этого приложения получите доступ к приложению AAD на портале AAD и запишите идентификатор объекта на странице обзора приложения.
Параметры развертывания
Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя репликатора данных Crowdstrike Falcon версии 2 с использованием tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Предоставьте необходимые сведения, такие как рабочая область Microsoft Sentinel, учетные данные AWS CrowdStrike, сведения о приложении Azure AD и конфигурации приема.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. Рекомендуется создать новую группу ресурсов для развертывания приложения-функции и связанных ресурсов. 3. Установите флажок Я принимаю указанные выше условия. 4. Щелкните Приобрести для развертывания.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель репликатора данных Crowdstrike Falcon с помощью Функции Azure (развертывание через Visual Studio Code).
Развертывание DCE, DCR и пользовательских таблиц для приема данных
Развертывание необходимых DCE, DCR и пользовательских таблиц с помощью шаблона ARM ресурса сбора данных
После успешного развертывания DCE и DCR(s) получите приведенные ниже сведения и сохраните их под рукой (требуется во время развертывания приложения Функции Azure).
- Прием журналов DCE. Следуйте инструкциям, приведенным в разделе Создание конечной точки сбора данных (шаг 3).
- Неизменяемые идентификаторы одного или нескольких DCR (если применимо) — следуйте инструкциям, приведенным в статье Сбор сведений из DCR (Stpe 2).
Развертывание приложения-функции
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Настройка приложения-функции
Перейдите на портал Azure для настройки приложения-функции.
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //True, если необработанные данные требуются USER_SELECTION_REQUIRE_SECONDARY //True, если требуются дополнительные данные MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 для потребления и 150 для premium MAX_SCRIPT_EXEC_TIME_MINUTES // добавьте значение 10 здесь AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // Файл присутствует на сайте github. Добавьте, можно ли получить доступ к файлу через Интернет REQUIRED_FIELDS_SCHEMA_LINK //File присутствует на github. Добавьте, если к файлу можно получить доступ, используя Интернет Расписание //Добавить значение 0 */1 * * **, чтобы функция выполнялась каждую минуту.
После ввода всех параметров приложения нажмите кнопку Сохранить.
Системный журнал CTERA
Поддерживается:CTERA
Соединитель данных CTERA для Microsoft Sentinel предоставляет возможности мониторинга и обнаружения угроз для решения CTERA. Она включает в себя книгу, визуализируя сумму всех операций для каждого типа, удаления и операций с запретом доступа. Он также предоставляет правила аналитики, которые выявляют инциденты программ-шантажистов и оповещают вас, когда пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критические закономерности, такие как события отказа в массовом доступе, массовые удаления и массовые изменения разрешений, что обеспечивает упреждающее управление угрозами и реагирование на нее.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Шаг 1. Подключение платформы CTERA к системным журналам
Настройка подключения к системным журналам на портале CTERA и соединителя Edge-Filer syslog
Шаг 2. Установка агента мониторинга Azure (AMA) на сервере syslog
Установите агент мониторинга Azure (AMA) на сервере системного журнала, чтобы включить сбор данных.
CTM360 CyberBlindSpot (бессерверный)
Поддерживается:Cyber Threat Management 360
Соединитель CTM360 Cyber Blind Spot (CBS) обеспечивает интеграцию с платформой CBS CTM360 для приема данных безопасности в 6 типах модулей: инциденты, журналы вредоносных программ, учетные данные, скомпрометированные карточки, нарушение домена и нарушение поддомена. Этот соединитель использует платформу соединителя без кода (CCF) для бессерверного сбора данных.
Типы данных:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CBSLog_AzureV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Ключ API CBS CTM360. Для подключения к конечной точке API CBS требуется действительный ключ API киберслепых точек CTM360.
Инструкции по настройке:
Подключение CTM360 Cyber Blind Spot к Microsoft Sentinel
Этот соединитель использует платформу соединителя без кода (CCF) для приема данных из CTM360 CBS в Microsoft Sentinel. Данные собираются каждые 5 минут в 6 различных типах модулей.
Примечание. Этот соединитель создает 6 отдельных таблиц для разных типов модулей CBS: инциденты, журналы вредоносных программ, учетные данные, скомпрометированные карточки, нарушение домена и нарушение поддомена.
Шаг 1. Получение ключей API CTM360
Чтобы настроить эту интеграцию, потребуется ключ API CBS. Эти ключи можно получить по следующим ссылкам:
Ключ API CBS найден по этой ссылке: https://platform.ctm360.com/start/integrations после ведения журнала с помощью учетной записи
Шаг 2. Настройка подключения
Введите ключ API CBS CTM360 и подключитесь, чтобы начать прием данных.
- Ключ API CTM360 CBS: (Введите ключ API CTM360 CBS)
- Включение и отключение подключения
Шаг 3. Проверка приема данных
После подключения данные должны начаться в течение 5–10 минут. Используйте приведенные выше примеры запросов для проверки приема данных для каждого типа модуля.
Примечание. Начальный прием данных может занять до 30 минут. Соединитель опрашивает каждые 5 минут с 5-минутным скользящим окном.
CTM360 HackerView (бессерверный)
Поддерживается:Cyber Threat Management 360
Соединитель CTM360 HackerView позволяет принимать проблемы безопасности и уязвимости из платформы управления внешними атаками HackerView в Microsoft Sentinel. Этот бессерверный соединитель использует REST API для автоматического извлечения данных о проблемах для анализа и корреляции с другими событиями безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
HackerViewLog_AzureV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Ключ API HackerView. Требуется действительный ключ API HackerView с разрешениями на доступ к данным о проблемах.
Инструкции по настройке:
Подключение CTM360 HackerView к Microsoft Sentinel
Этот соединитель использует REST API HackerView для автоматического приема проблем безопасности в Microsoft Sentinel.
Примечание. Это бессерверный соединитель, который использует платформу соединителей без кода (CCF) Azure. Развертывание функции Azure не требуется.
Шаг 1. Получение ключей API CTM360
Чтобы настроить эту интеграцию, потребуется ключ API HackerView. Эти ключи можно получить по следующим ссылкам:
Ключ API HackerView найден по этой ссылке: https://platform.ctm360.com/start/integrations после ведения журнала с помощью учетной записи
Шаг 2. Настройка соединителя
Введите ключ API HackerView и нажмите кнопку Подключить, чтобы начать прием данных.
- Ключ API: (введите ключ API HackerView)
- Включение и отключение подключения
Шаг 3. Проверка приема данных
После подключения данные должны начаться в течение 5–10 минут. Выполните следующий запрос, чтобы проверить:
Примечание. HackerViewLog_AzureV2_CL | принять 10
Пользовательские журналы через AMA
Поддерживается корпорациейМайкрософт
Многие приложения записывают данные в текстовые или JSON-файлы вместо стандартных служб ведения журнала, таких как журналы событий Windows, системный журнал или CEF. Соединитель данных пользовательских журналов позволяет собирать события из файлов на компьютерах с Windows и Linux и передавать их в созданные вами пользовательские таблицы журналов. Во время потоковой передачи данных можно анализировать и преобразовывать содержимое с помощью DCR. После сбора данных можно применять правила аналитики, охоты, поиска, аналитики угроз, обогащения и т. д.
ПРИМЕЧАНИЕ. Используйте этот соединитель для следующих устройств: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, APACHE HTTP-сервер, Apache Tomcat, платформа приложений Jboss Enterprise, Поставщик удостоверений Juniper, MarkLogic Audit, MongoDB Audit, HTTP-сервер Nginx, сервер Oracle Weblogic, события PostgreSQL, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP и поток ai vectra.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
JBossEvent_CL |
Нет | Нет |
JuniperIDP_CL |
Да | Да |
ApacheHTTPServer_CL |
Да | Да |
Tomcat_CL |
Да | Да |
meraki_CL |
Да | Да |
VectraStream_CL |
Нет | Нет |
MarkLogicAudit_CL |
Нет | Нет |
MongoDBAudit_CL |
Да | Да |
NGINX_CL |
Да | Да |
OracleWebLogicServer_CL |
Да | Да |
PostgreSQL_CL |
Да | Да |
SquidProxy_CL |
Да | Да |
Ubiquiti_CL |
Да | Да |
vcenter_CL |
Да | Да |
ZPA_CL |
Да | Да |
SecurityBridgeLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения. Для сбора данных с виртуальных машин, отличных от Azure, на них должна быть установлена и включена Azure Arc. Подробнее
Инструкции по настройке:
Включение правила сбора данных
Пользовательские журналы собираются из агентов Windows и Linux.
- Агент установки: <значение переменной, указанное во время установки>
Аудит CyberArk
Поддерживается:Поддержка CyberArk
Соединитель данных CyberArk Audit позволяет Microsoft Sentinel принимать журналы событий безопасности и другие события из службы cyberArk Audit через REST API. Эта интеграция помогает обнаруживать потенциальные угрозы безопасности, отслеживать действия пользователей, анализировать шаблоны совместной работы, устранять неполадки с конфигурацией и получать более подробные сведения о среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberArk_AuditEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- CyberArk Audit Service Platform: доступ для выполнения необходимых конфигураций на платформе CyberArk Audit
Инструкции по настройке:
Подключитесь к API аудита CyberArk, чтобы начать сбор журналов событий в Microsoft Sentinel
Выполните следующие действия, чтобы интегрировать Microsoft Sentinel с CyberArk Audit и включить централизованный мониторинг действий системы и пользователей в Microsoft Sentinel. Вы также можете ознакомиться с документацией по аудиту CyberArk и следовать шагу 5.
Шаг 1. Создание интеграции SIEM
- На портале CyberArk перейдите на страницу
Administration. - Выберите .
My environment>Integrations>Export to SIEM - На странице интеграции SIEM выберите
Create>Create SIEM integration -
Create a SIEM integrationНа странице выберите ссылкуIdentity Administrationдля создания веб-сайта сервера OAuth в разделе Администрирование удостоверений. Шаг 2. Создание серверного веб-приложения OAuth2 в службе администрирования удостоверений - На
Identity Administrationстранице в меню слева выберитеApps & Widgets>веб-приложения - Выберите
Add веб-приложенияи создайтеOAuth2 serverвеб-приложение типа на вкладкеCustom. - Введите
CyberArkAuditforMicrosoftSentinelвApplicationIDполях иName. - На вкладке
Tokensубедитесь, что значение вToken Typeполе равноjwtR256и выбран толькоClient Credsметод авторизации. - Щелкните
AddвкладкуScopeи введитеisp.audit.events:read. - На вкладке
Advancedскопируйте и вставьте следующий скрипт, а затем нажмите кнопку Сохранить.
setClaim('tenant_id', TenantData.Get("CybrTenantID"));
setClaim('aud', 'cyberark.isp.audit');
- Выберите
Save. Шаг 3. Создание пользователя службы в службе администрирования удостоверений - Перейдите к
Core Services>Users, выберитеAdd User. - В разделе введите
AccountиDisplay nameMicrosoftSentinelкакLogin name. Добавьте новый пароль или создайте пароль автоматически. - Выберите .
OAuth confidential client - На вкладке
Application Settingsщелкните .Add -
CyberArkAuditforMicrosoftSentinelВыберите приложение. Это имя, созданное в веб-службе. Шаг 4. Предоставление разрешений веб-приложению пользователю службы - Перейдите к созданному
CyberArkAuditforMicrosoftSentinelвеб-приложению. - На вкладке
PermissionsщелкнитеAdd, чтобы найти пользователяMicrosoftSentinel, и нажмите кнопкуAdd. - Задайте следующие разрешения для пользователя:
- Предоставить
- Просмотр
- Выполнить
- Автоматическое развертывание, шаг 5. Определение описания интеграции
- Перейдите по адресу
Administration. - Выберите .
My environment>Integrations>Export to SIEM - Выберите .
Create>Create SIEM integration - Введите имя как
Microsoft Sentinel Integrationи при необходимости добавьте описание. - Выберите
Apply. Шаг 6. Подключение службы аудита CyberArk к соединителю данных Microsoft Sentinel
Примечание: Скопируйте все сведения, которые вы захватили на предыдущих шагах, и подключитесь к службе аудита CyberArk.
- Имя приложения сервера OAuth2 (например, AuditforMicrosoftSentinel)
- Ключ API аудита: (ключ API можно получить из службы аудита)
- Конечная точка удостоверения: (например, kln9281.id.cyberark.cloud)
- Базовый URL-адрес API аудита: (например, org-test.audit.cyberark.cloud)
- Действие фильтра запросов аудита (необязательно):(например, {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
- Код приложения фильтра запросов аудита (необязательно): (например, {"op":"include","params":["IDP","CMS"]})
- Тип аудита фильтра запроса аудита (необязательно): (например, {"op":"include","params":["Failure"]})
CyberArkAudit (с помощью Функции Azure)
Поддерживается:Поддержка CyberArk
Соединитель данных CyberArk Audit предоставляет возможность получать журналы событий безопасности службы cyberArk Audit и другие события в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberArk_AuditEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Аудит сведений о подключениях REST API и учетных данных: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для выполнения вызовов API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
ПРИМЕЧАНИЕ: Ключи авторизации API или маркеры безопасно хранятся в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей.
ШАГ 1. Действия по настройке интеграции SIEM с аудитом CyberArk
Следуйте инструкциям , чтобы получить сведения о подключении и учетные данные.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных CyberArk Audit укажите имя рабочей области и расположение рабочей области (можно скопировать из следующего кода).
- Имя рабочей области: <значение переменной, указанное во время установки>
- Расположение рабочей области: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных CyberArk Audit с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных CyberArk Audit с Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, CyberArkXXXXX).
e. Выберите среду выполнения: Выберите Python 3.10.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceIdKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Оповещения с действиями Cybersixgill (с помощью Функции Azure)
Поддерживается:Cybersixgill
Оповещения с действиями предоставляют настраиваемые оповещения на основе настроенных ресурсов
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberSixgill_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: для выполнения вызовов API требуются Client_ID и Client_Secret .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Cybersixgill для извлечения оповещений в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Cybersixgill Actionable Alerts с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, идентификатор клиента, секрет клиента, TimeInterval и развертывание.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Cybersixgill Actionable Alerts с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ. Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, CybersixgillAlertsXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): ClientID ClientSecret Polling WorkspaceID WorkspaceID LogAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Оповещения о Cyble Vision
Поддерживается:Cyble Support
Соединитель данных CCF оповещений Cyble Vision позволяет принимать оповещения об угрозах из Cyble Vision в Microsoft Sentinel с помощью соединителя соединителя без кода. Он собирает данные оповещений через API, нормализует их и сохраняет в настраиваемой таблице для расширенного обнаружения, корреляции и ответа.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CybleVisionAlerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Токен API визуального распознавания Cyble: требуется маркер API от платформы Cyble Vision.
Инструкции по настройке:
Шаг 1. Создание маркера API на платформе Cyble
Перейдите к Cyble Platform и войдите в систему, используя учетные данные Cyble Vision.
После входа перейдите на панель слева и прокрутите вниз до пункта Служебные программы. Щелкните API доступа. В правом верхнем углу страницы щелкните значок + (Добавить), чтобы создать новый ключ API. Укажите псевдоним (понятное имя для ключа) и нажмите кнопку Создать. Скопируйте созданный маркер API и сохраните его в безопасном виде.
ШАГ 2. Настройка соединителя данных
Вернитесь к Microsoft Sentinel и откройте страницу конфигурации соединителя данных оповещений о Cyble Vision. Вставьте маркер API Cyble в поле Токен API в разделе "Сведения об API".
- Токен API: (введите маркер API)
- Интервал запроса (в минутах): (введите время в минутах (например, 10))
- Включение и отключение подключения
Cyborg Security HUNTER Hunt Packages
Поддерживается:Cyborg Security
Cyborg Security является ведущим поставщиком передовых решений для охоты на угрозы, с миссией по расширению возможностей организаций с помощью передовых технологий и инструментов для совместной работы для упреждающего обнаружения киберугроз и реагирования на них. Флагманское предложение Cyborg Security, платформа HUNTER, сочетает в себе мощную аналитику, курированное содержимое охоты на угрозы и комплексные возможности управления охотой, чтобы создать динамическую экосистему для эффективных операций по охоте на угрозы.
Выполните действия, чтобы получить доступ к сообществу Cyborg Security и настроить возможности "Открыть в средстве" на платформе HUNTER.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Примечание. Используйте следующую ссылку, чтобы найти идентификатор Azure Tentant Как найти идентификатор клиента Azure Active Directory
- ResourceGroupName & WorkspaceName: <значение переменной, указанное во время установки>
- WorkspaceID: <значение переменной, указанное во время установки.>
1. Регистрация учетной записи сообщества Cyborg Security в сообществе
Cyborg Security предоставляет доступ memebers сообщества к подмножествию новых коллекций угроз и пакетов охоты.
Создайте бесплатную учетную запись commuinity, чтобы получить доступ к охотничьим пакетам Cyborg Security: зарегистрируйтесь сейчас!
2. Настройка функции "Открыть в средстве"
Перейдите в раздел Среда платформы HUNTER.
Заполните корневой универсальный код ресурса (URI) вашей среды в разделе с меткой Microsoft Sentinel. Замените выделенные <полужирным шрифтом элементы> идентификаторами и именами подписки, групп ресурсов и рабочих областей.
https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/Нажмите кнопку Сохранить.
3. Выполнение охоты hunter pacakge в Microsoft Sentinel
Определите пакет охоты Cyborg Security HUNTER для развертывания и используйте кнопку Открыть в инструменте, чтобы быстро открыть Microsoft Sentinel и разместить содержимое охоты.
Соединитель данных DSPM Microsoft Sentinel Cyera
Поддерживается:Cyera Inc
Соединитель данных Cyera DSPM позволяет подключаться к клиенту DSPM Cyera и принимать классификации, активы, проблемы и ресурсы и определения удостоверений в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует API Cyera для получения DSPM телеметрии Cyera после получения можно сопоставить с событиями безопасности, создавая настраиваемые столбцы, чтобы запросы не нуждались в повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyeraClassifications_CL |
Нет | Нет |
CyeraAssets_CL |
Нет | Нет |
CyeraAssets_MS_CL |
Нет | Нет |
CyeraIssues_CL |
Нет | Нет |
CyeraIdentities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Проверка подлинности Cyera DSPM
Подключение к Cyera DSPM с помощью личных маркеров доступа
- Идентификатор клиента Cyera Personal Access Token: (client_id)
- Секретный ключ Cyera Personal Access Token: (secret_key)
- Включение и отключение подключения
CYFIRMA Attack Surface
Поддерживается:CYFIRMA
Н/Д
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Да | Да |
CyfirmaASConfigurationAlerts_CL |
Да | Да |
CyfirmaASDomainIPReputationAlerts_CL |
Да | Да |
CyfirmaASOpenPortsAlerts_CL |
Да | Да |
CyfirmaASCloudWeaknessAlerts_CL |
Да | Да |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
CYFIRMA Attack Surface
Подключитесь к направлению атаки CYFIRMA для приема оповещений в Microsoft Sentinel. Этот соединитель использует API DeCYFIR/DeTCT для получения журналов и поддерживает преобразования времени приема на основе DCR, анализируя данные безопасности в пользовательских таблицах во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
- URL-адрес API CYFIRMA: (https://decyfir.cyfirma.com)
- Ключ API CYFIRMA: (ключ API CYFIRMA)
- Api Delta: (API Delta)
- Включение и отключение подключения
CYFIRMA Brand Intelligence
Поддерживается:CYFIRMA
Н/Д
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Да | Да |
CyfirmaBIExecutivePeopleAlerts_CL |
Да | Да |
CyfirmaBIProductSolutionAlerts_CL |
Да | Да |
CyfirmaBISocialHandlersAlerts_CL |
Да | Да |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
CYFIRMA Brand Intelligence
Подключитесь к CYFIRMA Brand Intelligence для приема данных оповещений в Microsoft Sentinel. Этот соединитель использует API оповещений DeCYFIR/DeTCT для получения журналов и поддерживает преобразования времени приема на основе DCR, анализируя данные безопасности в пользовательских таблицах во время приема. Это повышает производительность и эффективность, устраняя необходимость синтаксического анализа во время запроса.
- URL-адрес API CYFIRMA: (https://decyfir.cyfirma.com)
- Ключ API CYFIRMA: (ключ API CYFIRMA)
- Api Delta: (API Delta)
- Включение и отключение подключения
Скомпрометированные учетные записи CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Компрометированные учетные записи обеспечивает простой прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. Созданная на базе платформы соединителя без кода Microsoft Sentinel, она использует API DeCYFIR/DeTCT для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Скомпрометированные учетные записи CYFIRMA
Соединитель данных CYFIRMA скомпрометированных учетных записей обеспечивает простой прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. Созданная на базе платформы соединителя без кода Microsoft Sentinel, она использует API DeCYFIR/DeTCT для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
- URL-адрес API CYFIRMA: (https://decyfir.cyfirma.com)
- Ключ API CYFIRMA: (ключ API CYFIRMA)
- Api Delta: (API Delta)
- Включение и отключение подключения
Киберразведка CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Cyber Intelligence обеспечивает простой прием журналов из API DeCYFIR в Microsoft Sentinel. Созданная на платформе соединителя без кода Microsoft Sentinel, она использует API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaIndicators_CL |
Да | Да |
CyfirmaThreatActors_CL |
Да | Да |
CyfirmaCampaigns_CL |
Да | Да |
CyfirmaMalware_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Киберразведка CYFIRMA
Этот соединитель предоставляет журналы индикаторов, субъектов угроз, вредоносных программ и кампаний из CYFIRMA Cyber Intelligence. Соединитель использует API DeCYFIR для получения журналов и поддерживает преобразования времени приема на основе DCR, анализируя данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
- URL-адрес API CYFIRMA: (https://decyfir.cyfirma.com)
- Ключ API CYFIRMA: (ключ API CYFIRMA)
- Извлечение всех IoC или Специализированных IoC: (Все IoC или Специализированные IoC)
- Api Delta: (API Delta)
- Рекомендуемые действия: (рекомендуемое действие может быть любым из:All/Monitor/Block)
- Связанный субъект угроз: (любой субъект угроз, связанный с IoC)
- Включение и отключение подключения
Цифровой риск CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Digital Risk Alerts обеспечивает простой прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. Созданная на платформе соединителя без кода Microsoft Sentinel, она использует API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Да | Да |
CyfirmaDBWMRansomwareAlerts_CL |
Да | Да |
CyfirmaDBWMDarkWebAlerts_CL |
Да | Да |
CyfirmaSPESourceCodeAlerts_CL |
Да | Да |
CyfirmaSPEConfidentialFilesAlerts_CL |
Да | Да |
CyfirmaSPEPIIAndCIIAlerts_CL |
Да | Да |
CyfirmaSPESocialThreatAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Цифровой риск CYFIRMA
Подключитесь к цифровым оповещениям о рисках CYFIRMA для приема журналов в Microsoft Sentinel. Этот соединитель использует API DeCYFIR/DeTCT для получения оповещений и поддерживает преобразования времени приема на основе DCR для эффективного анализа журналов.
- URL-адрес API CYFIRMA: (https://decyfir.cyfirma.com)
- Ключ API CYFIRMA: (ключ API CYFIRMA)
- Api Delta: (API Delta)
- Включение и отключение подключения
Аналитика уязвимостей CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных аналитики уязвимостей CYFIRMA обеспечивает простой прием журналов из API DeCYFIR в Microsoft Sentinel. Созданная на базе платформы соединителя без кода Microsoft Sentinel, она использует API CYFIRMA для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaVulnerabilities_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Аналитика уязвимостей CYFIRMA
Этот соединитель предоставляет журналы уязвимостей из аналитики уязвимостей CYFIRMA. Соединитель использует API DeCYFIR для получения журналов и поддерживает преобразования времени приема на основе DCR, анализируя данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
- URL-адрес API CYFIRMA: (https://decyfir.cyfirma.com)
- Ключ API CYFIRMA: (ключ API CYFIRMA)
- Api Delta: (API Delta)
- Уязвимости, связанные с поставщиком:
- Уязвимости, связанные с продуктом:
- Продукт с уязвимостями Version-Associated:
- Включение и отключение подключения
События безопасности Cynerio
Поддерживается:Cynerio
Соединитель Cynerio позволяет легко подключать события безопасности Cynerio к Microsoft Sentinel для просмотра событий IDS. Это дает вам больше сведений о безопасности сети организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CynerioEvent_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Настройка и подключение Cynerio
Cynerio может интегрировать события и экспортировать события непосредственно в Microsoft Sentinel через Azure Server. Чтобы установить интеграцию, выполните следующие действия.
В консоли Cynerio перейдите на вкладку Параметры > Интеграции (по умолчанию) и нажмите кнопку +Добавить интеграцию в правом верхнем углу.
Прокрутите вниз до раздела SIEM .
На Microsoft Sentinel карта нажмите кнопку Подключиться.
Откроется окно Сведения об интеграции. Используйте приведенные ниже параметры, чтобы заполнить форму и настроить подключение.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Аналитика угроз Cyren
Поддерживается:Data443 Risk Mitigation, Inc.
Прием индикаторов репутации IP-адресов и URL-адресов вредоносных программ из Cyren с помощью Common Connector Framework (CCF).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cyren_Indicators_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Маркеры JWT Cyren: маркеры JWT, хранящиеся в Azure Key Vault или предоставляемые во время развертывания.
Инструкции по настройке:
Подключение Cyren Threat Intelligence
Чтобы включить соединитель Cyren Threat Intelligence, укажите маркеры JWT ниже и нажмите кнопку Подключить.
Примечание: Вы можете использовать любой веб-канал или и то, и другое в зависимости от подписки. Оставьте поле маркера пустым для всех веб-каналов, которые вы не приобрели, — будут развернуты только соединители для предоставленных маркеров.
Для повышения безопасности можно включить интеграцию Key Vault для хранения и извлечения маркеров JWT.
- Токен JWT репутации IP-адресов (необязательно): (оставьте пустым, если он не приобретен)
- Токен JWT URL-адреса вредоносных программ (необязательно): (оставьте пустым, если не приобретено)
- Включение и отключение подключения
D3 Интеллектуальные инциденты SOAR
Поддерживается:D3 Security
Соединитель данных D3 Smart SOAR извлекает инциденты из D3 Smart SOAR в Microsoft Sentinel с помощью конечной точки команды REST API D3 без кода.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
D3SOARIncidents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Подключение D3 Smart SOAR к Microsoft Sentinel
Предварительные требования. В D3 Smart SOAR перейдите в раздел Управление организацией → сайты, выберите сайт, к которому вы подключаетесь, и задайте для нее часовой пояс (UTC+00:00) координированное универсальное время. Это гарантирует правильное согласование меток времени инцидента с Microsoft Sentinel.
Введите сведения о подключении D3 Smart SOAR ниже. Инциденты будут опрашивать каждые 5 минут и записываться в таблицу D3SOARIncidents_CL. URL-адрес сервера — базовый URL-адрес развертывания D3 Smart SOAR, вплоть до пути к сайту. Не включайте путь к API. Имя пользователя — имя пользователя учетной записи D3 Smart SOAR (то же, что и имя входа на портале). Сайт — имя сайта D3 Smart SOAR, к которому принадлежит ваша учетная запись (например, Security Operations). D3 JWT — веб-токен JSON, выданный D3 Smart SOAR для проверки подлинности API.
- URL-адрес сервера: (https://poc.bemimo.com/ce_site/VSOC)
- Имя пользователя: (администратор)
- Сайт: (операции безопасности)
- D3 JWT: (ey...)
- Включение и отключение подключения
Соединитель Darktrace для REST API Microsoft Sentinel
Поддерживается:Darktrace
Соединитель REST API Darktrace отправляет события из Darktrace в режиме реального времени в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в настраиваемую таблицу журналов с именем "darktrace_model_alerts_CL"; Можно принимать нарушения модели, инциденты аналитика ИИ, системные оповещения и оповещения Email . Дополнительные фильтры можно настроить на странице Конфигурация системы Darktrace. Данные отправляются в Sentinel из образцов Darktrace.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
darktrace_model_alerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Предварительные требования для Darktrace. Чтобы использовать этот соединитель данных, требуется master Darktrace версии 5.2+. Данные отправляются в API Azure Monitor HTTP Data Collector через HTTP от мастеров Darktrace, поэтому требуется исходящее подключение из master Darktrace к Microsoft Sentinel REST API.
- Фильтрация данных Darktrace. Во время настройки можно настроить дополнительную фильтрацию на странице Конфигурация системы Darktrace, чтобы ограничить объем или типы отправляемых данных.
- Попробуйте решение Sentinel Darktrace. Вы можете максимально эффективно использовать этот соединитель, установив решение Darktrace для Microsoft Sentinel. Это позволит визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов на основе нарушений модели Darktrace и инцидентов аналитика ИИ.
Инструкции по настройке:
- Подробные инструкции по настройке можно найти на портале клиентов Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
- Запишите идентификатор рабочей области и первичный ключ. Вам потребуется ввести эти сведения на странице Конфигурация системы Darktrace.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Конфигурация Darktrace
- На странице Конфигурация системы Darktrace выполните следующие действия:
- Перейдите на страницу "Конфигурация системы" (главное меню > Администратор > конфигурация системы)
- Перейдите в раздел Конфигурация модулей и щелкните конфигурацию "Microsoft Sentinel" карта
- Выберите "HTTPS (JSON)" и нажмите кнопку "Создать".
- Заполните необходимые сведения и выберите соответствующие фильтры.
- Щелкните "Проверить параметры оповещений", чтобы попытаться выполнить проверку подлинности и отправить тестовое оповещение.
- Выполните пример запроса "Поиск тестовых оповещений", чтобы проверить, получено ли тестовое оповещение.
DataBahn
Поддерживается:Databahn
Соединитель DataBahn предоставляет возможность отправки данных телеметрии платформы в реальном времени из среды DataBahn непосредственно в Microsoft Sentinel с помощью шаблона отправки CCF. Этот соединитель выполняет прием журналов аудита, операционных оповещений и инвентаризации устройств в пользовательские таблицы Log Analytics для анализа, оповещения и визуализации.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
databahn_audit_logs_CL |
Нет | Нет |
databahn_alerts_CL |
Нет | Нет |
databahn_device_inventory_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель позволяет платформе DataBahn отправлять журналы аудита, оповещения и данные инвентаризации устройств непосредственно в Microsoft Sentinel через API Azure мониторинга приема.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Настройка платформы DataBahn
Используйте следующие параметры, чтобы настроить назначение DataBahn Highway для отправки данных в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя Stream журналов аудита: <значение переменной, указанное во время установки>
- Оповещений Stream Имя: <значение переменной, указанное во время установки>
- Имя Stream инвентаризации устройств: <значение переменной, указанное во время установки>
Datalake2Sentinel
Поддерживается:Orange Cyberdefense
Это решение устанавливает соединитель Datalake2Sentinel, созданный с помощью платформы соединителя без кода и позволяющий автоматически принимать индикаторы аналитики угроз из платформы CTI Datalake Orange Cyberdefense в Microsoft Sentinel с помощью REST API upload Indicators. После установки решения настройте и включите этот соединитель данных, следуя указаниям в разделе Управление представлением решения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Инструкции по установке и настройке
Используйте документацию из этого репозитория Github, чтобы установить и настроить соединитель Datalake для Microsoft Sentinel.
https://github.com/cert-orangecyberdefense/datalake2sentinel
Соединитель данных Pulse Alerts Dataminr (с помощью Функции Azure)
Поддерживается:Поддержка Dataminr
Dataminr Pulse Alerts Data Connector позволяет использовать аналитику на основе ИИ в режиме реального времени в Microsoft Sentinel для ускорения обнаружения угроз и реагирования на нее.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DataminrPulse_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Необходимые учетные данные и разрешения Dataminr:
А. Чтобы использовать этот соединитель данных, пользователи должны иметь действительный идентификатор клиента API Dataminr Pulse и секрет .
Б. На веб-сайте Dataminr Pulse необходимо настроить один или несколько списков отслеживания Dataminr Pulse.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к DataminrPulse, в котором журналы отправляются через Dataminr RTAP, и он будет принимать журналы в Microsoft Sentinel. Кроме того, соединитель будет получать полученные данные из пользовательской таблицы журналов и создавать индикаторы аналитики угроз в Microsoft Sentinel аналитики угроз. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Учетные данные для идентификатора клиента Dataminr Pulse и секрета клиента
- Получите идентификатор пользователя, пароль и секрет клиента API Pulse из диспетчера успешности dataminr Customer Success Manager (CSM).
ШАГ 2. Настройка списков наблюдения на портале Dataminr Pulse.
Выполните действия, описанные в этом разделе, чтобы настроить списки просмотра на портале.
Войдите на веб-сайт Dataminr Pulse.
Щелкните значок шестеренки параметров и выберите Управление списками.
Выберите тип списка отслеживания, который вы хотите создать (Cyber, Topic, Company и т. д.) и нажмите кнопку Создать список .
Укажите имя нового списка отслеживания и выберите для него цвет выделения или оставьте цвет по умолчанию.
Завершив настройку списка отслеживания, нажмите кнопку Сохранить , чтобы сохранить его.
Шаг 3. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента необходимы в качестве параметров конфигурации для выполнения соединителя данных DataminrPulse.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 4. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных DataminrPulse. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных DataminrPulse.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 5. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
ШАГ 6. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя данных Dataminr Pulse Microsoft Sentinel должны быть доступны идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя DataminrPulse.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения: Имя функции Идентификатор рабочей области ИД рабочей области AlertsTableName BaseURL ClientSecret AzureClientId AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Dataminr Pulse Microsoft Sentinel с помощью Функции Azure (Развертывание через Visual Studio Code).
1) Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, DmPulseXXXXX).
e. Выберите среду выполнения: Выберите Python 3.8 или более поздней версии.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
2) Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): Function Name Workspace ID Workspace Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
ШАГ 7. Шаги после развертывания
1) Получение конечной точки приложения-функции
- Перейдите на страницу Azure обзор функции и щелкните "Функции" в левой колонке.
- Щелкните функцию DataminrPulseAlertsHttpStarter.
- Перейдите по адресу GetFunctionurl и скопируйте URL-адрес функции.
- Замените {functionname} на "DataminrPulseAlertsSentinelOrchestrator" в url-адресе функции.
2) Добавление параметров интеграции в Dataminr RTAP с помощью URL-адреса функции
- Откройте любое средство запроса API, например Postman.
- Щелкните "+", чтобы создать новый запрос.
- Выберите метод HTTP-запроса как POST.
- Введите URL-адрес, подготовленный в пункте 1) в части URL-адреса запроса.
- В разделе Текст выберите необработанный КОД JSON и укажите текст запроса, как показано ниже (с учетом регистра): { "integration-settings": "ADD", "url": "
(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" } - После предоставления всех необходимых сведений нажмите кнопку Отправить.
- Вы получите идентификатор параметра интеграции в HTTP-ответе с кодом состояния 200.
- Сохраните идентификатор интеграции для дальнейшего использования.
Теперь мы закончили с добавлением параметров интеграции для Dataminr RTAP. После отправки данных RTAP dataminr активируется приложение-функция, и вы сможете просматривать данные оповещений из таблицы Dataminr Pulse в рабочей области LogAnalytics с именем "DataminrPulse_Alerts_CL".
Datawiza DAP
Поддерживается:Datawiza Technology Inc.
Подключает журналы DAP Datawiza к Azure Log Analytics через интерфейс REST API.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
datawizaserveraccess_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Шаг 1. Ознакомьтесь с подробной документацией
Процесс установки подробно описан на сайте документации Microsoft Sentinel интеграции. Чтобы узнать об установке и отладке интеграции, пользователь должен обратиться в службу поддержки (support@datawiza.com).
Шаг 2. Установка соединителя Sentinel Datawiza
Следующим шагом является установка средства пересылки журналов Datawiza для отправки журналов в Microsoft Sentinel. Точная установка будет зависеть от вашей среды. Подробные сведения см. в Microsoft Sentinel интеграции.
Шаг 3. Тестирование приема данных
Примерно через 20 минут получите доступ к рабочей области Log Analytics на Microsoft Sentinel установке и найдите раздел Настраиваемые журналы, убедитесь, что таблица datawizaserveraccess_CL существует. Используйте примеры запросов для изучения данных.
Derdack SIGNL4
Поддерживается:Derdack
При сбое критических систем или возникновении инцидентов безопасности SIGNL4 связывает "последнюю милю" с вашими сотрудниками, инженерами, ИТ-администраторами и сотрудниками в этой области. Он мгновенно добавляет мобильные оповещения в службы, системы и процессы в режиме реального времени. SIGNL4 уведомляет с помощью постоянных мобильных push-уведомлений, SMS-сообщений и голосовых вызовов с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смен гарантирует, что нужные люди будут оповещены в нужное время.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityIncident |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных в основном настраивается на стороне SIGNL4. Видео с описанием можно найти здесь: Интеграция SIGNL4 с Microsoft Sentinel.
Соединитель SIGNL4: Соединитель SIGNL4 для Microsoft Sentinel, Центр безопасности Azure и других поставщиков Azure Graph API безопасности обеспечивает беспроблемную 2-уровневую интеграцию с решениями по обеспечению безопасности Azure. После добавления в команду SIGNL4 соединитель будет считывать оповещения системы безопасности от Azure Graph API безопасности и автоматически запускать уведомления об оповещениях для дежурных участников команды. Он также синхронизирует состояние оповещения из SIGNL4 в Graph API безопасности, чтобы при подтверждении или закрытии оповещений это состояние также обновлялось для соответствующего оповещения Azure Graph API безопасности или соответствующего поставщика безопасности. Как уже упоминалось, соединитель в основном использует API безопасности Azure Graph, но для некоторых поставщиков безопасности, таких как Microsoft Sentinel, он также использует выделенные REST API из Azure решений.
Функции Microsoft Sentinel
Microsoft Sentinel — это облачное решение SIEM корпорации Майкрософт и поставщик оповещений системы безопасности в API безопасности Azure Graph. Однако уровень сведений об оповещении, доступных в API безопасности Graph, ограничен для Microsoft Sentinel. Таким образом, соединитель может дополнять оповещения дополнительными сведениями (результаты поиска правил аналитики) из базовой рабочей области Microsoft Sentinel Log Analytics. Для этого соединитель взаимодействует с Azure REST API Log Analytics и нуждается в разрешениях (см. ниже). Кроме того, приложение также может обновлять состояние Microsoft Sentinel инцидентов, когда все связанные оповещения системы безопасности, например, выполняются или разрешаются. Для этого соединитель должен входить в группу "участники Microsoft Sentinel" в вашей подписке Azure. Автоматическое развертывание в Azure Учетные данные, необходимые для доступа к ранее упомянутым API, создаются небольшим скриптом PowerShell, который можно скачать ниже. Скрипт выполняет следующие задачи:
- Войдите в подписку Azure (войдите с учетной записью администратора).
- Создает новое корпоративное приложение для этого соединителя в Azure AD, также называемое субъектом-службой.
- Создает новую роль в Azure IAM, которая предоставляет разрешение на чтение и запрос только Azure рабочих областях Log Analytics.
- Присоединение корпоративного приложения к этой роли пользователя
- Присоединяет корпоративное приложение к роли "участники Microsoft Sentinel".
- Выводит некоторые данные, необходимые для настройки приложения (см. ниже).
Процедура развертывания
- Скачайте скрипт развертывания PowerShell отсюда.
- Просмотрите сценарий, роли и области разрешений, которые он развертывает для регистрации нового приложения. Если вы не хотите использовать соединитель с Microsoft Sentinel, можно удалить весь код создания ролей и назначения ролей и использовать его только для создания регистрации приложения (SPN) в Azure Active Directory.
- Запустите сценарий. В конце выводится информация, которую необходимо ввести в конфигурацию приложения соединителя.
- В Azure AD щелкните "Регистрация приложений". Найдите приложение с именем SIGNL4AzureSecurity и откройте сведения о нем.
- В колонке меню слева щелкните "Разрешения API". Затем щелкните "Добавить разрешение".
- В загружаемой колонке в разделе "Api Майкрософт" щелкните плитку Microsoft Graph, а затем щелкните "Разрешение приложения".
- В отображаемой таблице разверните "SecurityEvents" и проверка SecurityEvents.Read.All и SecurityEvents.ReadWrite.All.
- Щелкните "Добавить разрешения".
Настройка приложения соединителя SIGNL4
Наконец, введите идентификаторы, которые скрипт вывел в конфигурации соединителя:
- идентификатор клиента Azure
- Идентификатор подписки Azure
- Идентификатор клиента (корпоративного приложения)
- Секрет клиента (корпоративного приложения). После включения приложения оно начнет считывать оповещения API безопасности Azure Graph.
ПРИМЕЧАНИЕ: Изначально он будет считывать только оповещения, произошедшие в течение последних 24 часов.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
Прожектор цифровых теней (с помощью Функции Azure)
Поддерживается:Digital Shadows
Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений из Digital Shadows Searchlight в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, которые помогут изучить, диагностировать и проанализировать потенциальные риски и угрозы безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DigitalShadows_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуются идентификатор учетной записи Digital Shadows, секрет и ключ . Дополнительные сведения об API см. в документации
https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionпо .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к "Цифровому прожектору теней" для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Шаги по настройке API "Прожектор цифровых теней"
Поставщик должен предоставить подробные инструкции по настройке конечной точки API "Digital Shadows Searchlight", чтобы функция Azure могла успешно пройти проверку подлинности, получить ключ авторизации или маркер и извлечь журналы (модуль) в Microsoft Sentinel.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя Digital Shadows Searchlight необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также ключи авторизации API Digital Shadows Searchlight или Токен.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Digital Shadows Searchlight.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, "и/или другие обязательные поля".
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель Digital Shadows Searchlight с Функции Azure.
1. Создание приложения-функции
- На портале Azure перейдите в раздел Приложение-функция.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения убедитесь, что для стека среды выполнения задано значение Python 3.8.
- На вкладке Размещение убедитесь, что для параметра Тип плана задано значение "Потребление (бессерверное)". 5. Выберите Учетная запись хранения
- "Добавить другие необходимые конфигурации".
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
2. Импорт кода приложения-функции (развертывание zip)
- Установка Azure CLI
- Из терминала тип az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> и нажмите клавишу ВВОД.
ResourceGroupЗадайте для параметра значение: имя группы ресурсов.FunctionAppЗадайте для параметра значение: имя созданного приложения-функции.Zip FileЗадайте для параметра значение :digitalshadowsConnector.zip(путь к ZIP-файлу). Примечание. Скачайте ZIP-файл по ссылке — Код приложения-функции
3. Настройка приложения-функции
- На экране Приложение-функция щелкните имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения x (number of)" по отдельности. в поле Имя с соответствующими строковыми значениями (с учетом регистра) в разделе Значение: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (необязательный) (добавьте другие параметры, необходимые приложению-функции) Задайте
DigitalShadowsURLдля значения значение:https://api.searchlight.app/v1ЗадайтеHighVariabilityClassificationsзначение :exposed-credential,marked-documentClassificationFilterOperationзначение :excludeдля приложения-функции exclude илиincludeдля приложения-функции include
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Azure Key Vault.
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате: https://< CustomerId.ods.opinsights.azure.us>.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
DNS
Поддерживается корпорациейМайкрософт
Соединитель журналов DNS позволяет легко подключать журналы аналитики и аудита DNS к Microsoft Sentinel и другим связанным данным, чтобы улучшить исследование.
При включении сбора журналов DNS вы можете:
- Определите клиентов, которые пытаются устранить вредоносные доменные имена.
- Определение устаревших записей ресурсов.
- Определите часто запрашиваемых доменных имен и разговорчивых DNS-клиентов.
- Просмотр загрузки запросов на DNS-серверах.
- Просмотр сбоев динамической регистрации DNS.
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DnsEvents |
Да | Да |
DnsInventory |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных Doppel
Поддерживается:Doppel
Соединитель данных основан на Microsoft Sentinel для событий и оповещений Doppel и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные событий безопасности в пользовательские столбцы, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DoppelTable_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra идентификатор клиента, идентификатор клиента и секрет клиента: Microsoft Entra ID требуется идентификатор клиента и секрет клиента для проверки подлинности приложения. Кроме того, доступ на уровне глобального Администратор или владельца необходим для назначения зарегистрированным Entra приложению роли издателя метрик мониторинга группы ресурсов.
- Требуется идентификатор рабочей области, DCE-URI, DCR-ID. Необходимо получить идентификатор рабочей области Log Analytics, URI приема журналов DCE и неизменяемый идентификатор DCR для конфигурации.
Инструкции по настройке:
Настройка веб-перехватчика Doppel
Настройте веб-перехватчик в Doppel и конечной точке с разрешениями в Microsoft Sentinel для отправки данных.
Регистрация приложения в Microsoft Entra ID
Откройте страницу Microsoft Entra ID:
- Щелкните указанную ссылку, чтобы открыть страницу регистрации Microsoft Entra ID на новой вкладке.
- Убедитесь, что вы вошли в систему с помощью учетной записи с разрешениями Администратор уровня.
Создание нового приложения:
- На портале Microsoft Entra ID выберите Регистрация приложений, упомянутые на вкладке слева.
- Щелкните + Новая регистрация.
- Заполните следующие поля:
- Имя: введите имя приложения (например, Doppel App).
- Поддерживаемые типы учетных записей. Выберите Учетные записи только в этом каталоге организации (только каталог по умолчанию — один клиент).
-
URI перенаправления: оставьте этот флажок пустым, если не требуется иное.
- Нажмите кнопку Зарегистрировать , чтобы создать приложение.
Копирование идентификаторов приложений и клиентов:
- После регистрации приложения обратите внимание на идентификатор приложения (клиента) и идентификатор каталога (клиента) на странице Обзор . Они потребуются для интеграции.
Создайте секрет клиента:
- В разделе Сертификаты & секреты щелкните + Новый секрет клиента.
- Добавьте описание (например, "Секрет Doppel") и задайте срок действия (например, 1 год).
- Нажмите кнопку Добавить.
- Немедленно скопируйте значение секрета клиента, так как оно не будет отображаться снова.
Назначение роли "Издатель метрик мониторинга" приложению
Откройте группу ресурсов на портале Azure:
- Перейдите в группу ресурсов, содержащую рабочую область Log Analytics и правила сбора данных (DCR), в которую приложение должно отправлять данные.
Назначьте роль:
- В меню Группа ресурсов щелкните Управление доступом (IAM) на вкладке слева.
- Щелкните + Добавить и выберите Добавить назначение ролей.
- В раскрывающемся списке Роль найдите и выберите роль Издатель метрик мониторинга .
- В разделе Назначение доступа выберите Azure AD пользователя, группы или субъекта-службы.
- В поле Выбор найдите зарегистрированное приложение по имени или идентификатору клиента.
- Нажмите кнопку Сохранить , чтобы назначить роль приложению.
Развертывание шаблона ARM
Получите идентификатор рабочей области:
- После назначения роли вам потребуется идентификатор рабочей области.
- Перейдите к рабочей области Log Analytics в группе ресурсов.
- В разделе Обзор найдите поле Идентификатор рабочей области в разделе Сведения о рабочей области.
- Скопируйте идентификатор рабочей области и оставьте его под рукой для дальнейших действий.
Нажмите кнопку Развернуть в Azure:
- portal.azure.com.
- Это приведет вас непосредственно к портал Azure, чтобы начать развертывание.
Просмотр и настройка параметров:
- На странице настраиваемого развертывания убедитесь, что выполняется развертывание в правильной подписке и группе ресурсов.
- Заполните такие параметры, как имя рабочей области, идентификатор рабочей области и расположение рабочей области.
Щелкните Проверить и создать, а затем Создать , чтобы развернуть ресурсы.
Проверка настройки таблиц DCE, DCR и Log Analytics
Проверьте конечную точку сбора данных (DCE):
- После развертывания перейдите к Azure конечные точки сбора данных портала>.
- Убедитесь, что конечная точка DoppelDCE успешно создана.
- Скопируйте URI приема журналов DCE, так как он потребуется для создания URL-адреса веб-перехватчика.
Подтвердите настройку правила сбора данных (DCR):
- Перейдите к Azure порталу > Правила сбора данных.
- Убедитесь, что правило DoppelDCR присутствует.
- Скопируйте неизменяемый идентификатор DCR на странице Обзор, так как он понадобится для URL-адреса веб-перехватчика.
Проверка таблицы Log Analytics:
- Перейдите в рабочую область Log Analytics (связанную с Microsoft Sentinel).
- В разделе Таблицы убедитесь, что DoppelTable_CL таблица успешно создана и готова к получению данных.
Интеграция оповещений Doppel с Microsoft Sentinel
-
Соберите необходимые сведения:
- Соберите следующие сведения, необходимые для интеграции:
- Идентификатор конечной точки сбора данных (DCE-ID)
- Идентификатор правила сбора данных (DCR-ID)
- Microsoft Entra учетные данные: идентификатор клиента, идентификатор клиента и секрет клиента.
Координация с поддержкой Doppel:
- Совместно использовать собранные учетные данные DCE-ID, DCR-ID и Microsoft Entra с поддержкой Doppel.
- Запросите помощь по настройке этих сведений в клиенте Doppel, чтобы включить настройку веб-перехватчика.
Настройка веб-перехватчика от Doppel:
- Doppel будет использовать предоставленные идентификаторы ресурсов и учетные данные для настройки веб-перехватчика.
- Этот веб-перехватчик упрощает пересылку оповещений из Doppel в Microsoft Sentinel.
Проверьте доставку оповещений в Microsoft Sentinel:
- Убедитесь, что оповещения от Doppel успешно перенаправляются в Microsoft Sentinel.
- Убедитесь, что книга в Microsoft Sentinel обновлена с помощью статистики оповещений, обеспечивая беспроблемную интеграцию данных.
Уведомления перетаскивания через Cloud Sitestore
Поддерживается:Dragos Inc
Платформа Dragos является ведущей платформой промышленной кибербезопасности, предлагая комплексные операционные технологии (OT) обнаружения киберугроз, созданные на основе непревзойденного опыта в области промышленной кибербезопасности. Это решение позволяет просматривать данные уведомлений Dragos Platform в Microsoft Sentinel, чтобы аналитики по безопасности могли рассматривать потенциальные события кибербезопасности, происходящие в их промышленных средах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DragosAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Dragos Sitestore: учетная запись пользователя Sitestore с разрешением
notification:read. У этой учетной записи также должен быть ключ API, который можно предоставить Sentinel.
Инструкции по настройке:
Укажите следующие сведения, чтобы разрешить Microsoft Sentinel подключаться к dragos Sitestore.
- Dragos Sitestore Hostname: (dragossitestore.example.com)
- Dragos Sitestore API Key ID: (Введите идентификатор ключа API.)
- Dragos Sitestore API Key Secret: (Введите секрет ключа API)
- Минимальная серьезность уведомления. Допустимые значения: 0–5 включительно. Убедитесь, что максимальная степень серьезности меньше или равна.: (Введите минимальную серьезность (рекомендуется 0 для всех уведомлений))
- Максимальная серьезность уведомлений. Допустимые значения: 0–5 включительно. Убедитесь, что значение больше или равно минимальному уровню серьезности.: (Введите максимальное значение серьезности (рекомендуется 5 для всех уведомлений))
- Включение и отключение подключения
Соединитель событий Druva
Поддерживается:Druva Inc
Предоставляет возможность приема событий Druva из API Druva.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DruvaSecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API Druva: для проверки подлинности API Druva требуется идентификатор клиента и секрет клиента.
Инструкции по настройке:
Примечание. Конфигурации для подключения к Rest API Druva
Шаг 1. Создание учетных данных из консоли Druva. Инструкции см. в этом документе: https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials
Шаг 2. Введите имя узла. Для общедоступного облака apis.druva.com
Шаг 3. Введите идентификатор клиента и секретный ключ клиента
Подключитесь к API Druva, чтобы начать сбор журналов в Microsoft Sentinel
Укажите необходимые значения:
- Hostname: (пример: apis.druva.com)
Dynamics 365 Finance и операции
Поддерживается корпорациейМайкрософт
Dynamics 365 для финансов и операций — это комплексное решение планирования ресурсов предприятия (ERP), которое сочетает в себе финансовые и операционные возможности, помогая компаниям управлять повседневными операциями. Он предлагает ряд функций, которые позволяют компаниям оптимизировать рабочие процессы, автоматизировать задачи и получать аналитические сведения о производительности операций.
Соединитель данных Dynamics 365 Finance и операций в Microsoft Sentinel прием Dynamics 365 Finance действий администратора и операций, а также журналов аудита, а также бизнес-процессов пользователей и действий приложений.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FinanceOperationsActivity_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra регистрации приложения: идентификатор клиента приложения и секрет, используемые для доступа к Dynamics 365 Finance и операциям.
Инструкции по настройке:
Для подключения к финансам и операциям требуется регистрация приложения Microsoft Entra (идентификатор клиента и секрет). Вам также потребуется идентификатор клиента Microsoft Entra и URL-адрес организации Finance Operations.
Чтобы включить сбор данных, создайте роль в Dynamics 365 Finance и операциях с разрешениями на просмотр сущности журнала базы данных. Назначьте эту роль выделенному пользователю finance and Operations, сопоставленному с идентификатором клиента Microsoft Entra регистрации приложения. Чтобы завершить процесс, выполните следующие действия.
Шаг 1. Регистрация приложения Microsoft Entra
- Перейдите на портал Microsoft Entra.
- В разделе Приложения щелкните Регистрация приложений и создайте новую регистрацию приложения (оставьте все значения по умолчанию).
- Откройте регистрацию нового приложения и создайте секрет.
- Сохраните идентификатор клиента, идентификатор приложения (клиента) и секрет клиента для последующего использования.
Шаг 2. Создание роли для сбора данных в финансах и операциях
- На портале "Финансы и операции" перейдите > в раздел Рабочие области Системное администрирование и щелкните Конфигурация безопасности.
- В разделе Роли щелкните Создать и присвойте новой роли имя, например средство просмотра журналов базы данных.
- Выберите новую роль в списке ролей и щелкните Привилегии, а затем — Добавить ссылки.
- Выберите Представление сущности журнала базы данных в списке привилегий.
- Щелкните Unpublished objects (Неопубликованные объекты), а затем опубликовать все , чтобы опубликовать роль.
Шаг 3. Создание пользователя для сбора данных в финансах и операциях
- На портале "Финансы > и операции" перейдите в раздел Модули Системное администрирование и щелкните Пользователи.
- Создайте нового пользователя и назначьте ему роль, созданную на предыдущем шаге.
Шаг 4. Регистрация приложения Microsoft Entra в разделе "Финансы и операции"
- На портале F&O перейдите в раздел Настройка > системы > Microsoft Entra приложения (Azure приложения Active Directory).
- Создайте новую запись в таблице. В поле Идентификатор клиента введите идентификатор приложения, зарегистрированного на шаге 1.
- В поле Имя введите имя приложения.
- В поле Идентификатор пользователя выберите идентификатор пользователя, созданный на предыдущем шаге.
Подключение событий из Dyanmics 365 Finance and Operations к Microsoft Sentinel
Подключение с использованием учетных данных клиента
Организаций
Каждая строка представляет подключение "Финансы и операции"
- Сетка соединителей данных (настройка на портале)
Dynamics365
Поддерживается корпорациейМайкрософт
Соединитель действий Dynamics 365 Common Data Service (CDS) предоставляет сведения о действиях администраторов, пользователей и поддержки, а также событиях ведения журнала Microsoft Social Engagement. Подключив Dynamics 365 журналы CRM к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания пользовательских оповещений и улучшения процесса исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Dynamics365Activity |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Dynatrace Attacks версии 1
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Attacks для приема обнаруженных атак в Microsoft Sentinel Log Analytics
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAttacks_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенной безопасностью приложений . Дополнительные сведения о платформе Dynatrace.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь атаки на чтение (attacks.read) область.
Инструкции по настройке:
События атаки Dynatrace для Microsoft Sentinel
Настройте и включите Dynatrace Application Security. Следуйте этим инструкциям, чтобы создать маркер доступа.
Атаки Dynatrace версии 2
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Attacks для приема обнаруженных атак в Microsoft Sentinel Log Analytics
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAttacksV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенной безопасностью приложений . Дополнительные сведения о платформе Dynatrace.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь атаки на чтение (attacks.read) область.
Инструкции по настройке:
События атаки Dynatrace для Microsoft Sentinel
Настройте и включите Dynatrace Application Security. Следуйте этим инструкциям, чтобы создать маркер доступа.
- Клиент Dynatrace (например, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Маркер доступа Dynatrace: ({{dynatraceAccessToken}})
- Включение и отключение подключения
Журналы аудита Dynatrace версии 1
Поддерживается:Dynatrace
Этот соединитель использует REST API журналов аудита Dynatrace для приема журналов аудита клиента в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace . Начните бесплатную пробную версию.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен содержать журналы аудита чтения (auditLogs.read) область.
Инструкции по настройке:
События журнала аудита Dynatrace для Microsoft Sentinel
Включите ведение журнала аудита Dynatrace. Следуйте этим инструкциям, чтобы создать маркер доступа.
Журналы аудита Dynatrace версии 2
Поддерживается:Dynatrace
Этот соединитель использует REST API журналов аудита Dynatrace для приема журналов аудита клиента в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAuditLogsV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace . Начните бесплатную пробную версию.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен содержать журналы аудита чтения (auditLogs.read) область.
Инструкции по настройке:
События журнала аудита Dynatrace для Microsoft Sentinel
Включите ведение журнала аудита Dynatrace. Следуйте этим инструкциям, чтобы создать маркер доступа.
- Клиент Dynatrace (например, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Маркер доступа Dynatrace: ({{dynatraceAccessToken}})
- Включение и отключение подключения
Проблемы Dynatrace версии 1
Поддерживается:Dynatrace
Этот соединитель использует REST API проблемы Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceProblems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace . Начните бесплатную пробную версию.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь проблемы с чтением (problems.read) область.
Инструкции по настройке:
Dynatrace Problem Events to Microsoft Sentinel
Следуйте этим инструкциям, чтобы создать маркер доступа.
Проблемы Dynatrace версии 2
Поддерживается:Dynatrace
Этот соединитель использует REST API проблемы Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceProblemsV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace . Начните бесплатную пробную версию.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь проблемы с чтением (problems.read) область.
Инструкции по настройке:
Dynatrace Problem Events to Microsoft Sentinel
Следуйте этим инструкциям, чтобы создать маркер доступа.
- Клиент Dynatrace (например, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Маркер доступа Dynatrace: ({{dynatraceAccessToken}})
- Включение и отключение подключения
Уязвимости среды выполнения Dynatrace версии 1
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Security Problem для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceSecurityProblems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенной безопасностью приложений . Дополнительные сведения о платформе Dynatrace.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь проблемы с безопасностью чтения (securityProblems.read) область.
Инструкции по настройке:
События уязвимостей Dynatrace для Microsoft Sentinel
Настройте и включите Dynatrace Application Security. Следуйте этим инструкциям, чтобы создать маркер доступа.
Уязвимости среды выполнения Dynatrace версии 2
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Security Problem для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceSecurityProblemsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенной безопасностью приложений . Дополнительные сведения о платформе Dynatrace.
- Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь проблемы с безопасностью чтения (securityProblems.read) область.
Инструкции по настройке:
События уязвимостей Dynatrace для Microsoft Sentinel
Настройте и включите Dynatrace Application Security. Следуйте этим инструкциям, чтобы создать маркер доступа.
- Клиент Dynatrace (например, xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Маркер доступа Dynatrace: ({{dynatraceAccessToken}})
- Включение и отключение подключения
Эластичные агенты
Поддерживается корпорациейМайкрософт
Соединитель данных Elastic Agent предоставляет возможность приема журналов, метрик и данных безопасности эластичного агента в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ElasticAgentEvent |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Включите настраиваемые предварительные требования, если требуется подключение. В противном случае удалите таможни: описание любых настраиваемых предварительных требований
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом ElasticAgentEvent, которая развертывается вместе с решением Microsoft Sentinel.
ПРИМЕЧАНИЕ. Этот соединитель данных был разработан с помощью Elastic Agent 7.14.
1. Установка и подключение агента для Linux или Windows
Установите агент на сервере, где перенаправляются журналы эластичного агента.
Журналы из эластичных агентов, развернутых на серверах Linux или Windows, собираются агентами Linux или Windows.
Выберите место для установки агента Linux:
Установка агента на виртуальной машине Azure Linux
Выберите компьютер, на котором будет установлен агент, и нажмите кнопку Подключить.
- Агент установки: <значение переменной, указанное во время установки>
Установка агента на компьютере, отличном от Azure Linux
Скачайте агент на соответствующий компьютер и следуйте инструкциям.
- Агент установки: <значение переменной, указанное во время установки>
Выберите место для установки агента Windows:
Установка агента на Azure виртуальной машине Windows
Выберите компьютер, на котором будет установлен агент, и нажмите кнопку Подключить.
- Агент установки: <значение переменной, указанное во время установки>
Установка агента на компьютере, отличном от Azure Windows
Скачайте агент на соответствующий компьютер и следуйте инструкциям.
- Агент установки: <значение переменной, указанное во время установки>
2. Настройка эластичного агента (автономного)
Следуйте инструкциям по настройке эластичного агента для вывода в Logstash.
3. Настройка Logstash для использования подключаемого модуля вывода Microsoft Logstash
Выполните действия, чтобы настроить Logstash для использования подключаемого модуля microsoft-logstash-output-azure-loganalytics:
3.1) Проверьте, установлен ли подключаемый модуль: ./logstash-plugin list | grep 'azure-loganalytics' (если подключаемый модуль установлен, перейдите к шагу 3.3)
3.2) Установка подключаемого модуля: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3 ) Настройка Logstash для использования подключаемого модуля
4. Проверка приема журнала
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью пользовательской таблицы, указанной на шаге 3.3 (например, ElasticAgentLogs_CL).
До передачи данных в рабочую область может потребоваться около 30 минут.
Эластичный агент (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Elastic Agent позволяет принимать системные метрики, журналы и данные телеметрии, собранные агентом Elastic Agent из Elasticsearch, в Microsoft Sentinel. Этот соединитель использует API поиска Elasticsearch с проверкой подлинности ключа API для запроса нескольких потоков данных (ЦП, память, процесс, файловая система, сеть, загрузка, время доступности, метрики агента и журналы). Он поддерживает преобразования времени приема на основе DCR для эффективного выполнения запросов. Дополнительные сведения см. в документации по API: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ElasticAgentLogsV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
1. Предварительные требования
Убедитесь, что у вас есть необходимый доступ и конфигурация.
Предварительные условия
- Развертывание Elasticsearch (самоуправляемое или Elastic Cloud)
- Агент elastic, развернутый с включенной интеграцией системы
- Включен мониторинг агентов для журналов и метрик
- Ключ API Elasticsearch с разрешениями на чтение для всех индексов
- Сетевое подключение из Microsoft Sentinel к конечной точке Elasticsearch
Обязательные индексы
Соединитель запрашивает следующие индексы Elasticsearch:
Метрики:
-
metrics-system.cpu-*— Метрики ЦП -
metrics-system.memory-*— Метрики памяти -
metrics-system.process-*— Обработка метрик -
metrics-system.filesystem-*— Метрики файловой системы -
metrics-system.network-*— Метрики сети -
metrics-system.load-*— Загрузка системы (только Linux) -
metrics-system.uptime-*— время бесперебойной работы системы -
metrics-elastic_agent.*— данные телеметрии агента
Журналы:
-
logs-elastic_agent-*— журналы агента
2. Настройка подключений Elasticsearch
Добавьте одно или несколько подключений Elasticsearch для сбора данных.
Подключения Elasticsearch
Вы можете добавить несколько подключений для сбора данных из разных развертываний Elasticsearch. Для каждого подключения требуется собственный URL-адрес Elasticsearch и ключ API.
Создание ключа API
- В Kibana перейдите в раздел Ключи API управления стеком>.
- Щелкните Создать ключ API.
- Задайте имя и настройте разрешения:
- Доступ на чтение
metrics-system.* - Доступ на чтение
metrics-elastic_agent.* - Доступ на чтение
logs-elastic_agent-*
- Доступ на чтение
- Копирование значения ключа API в кодировке Base64
- Сетка соединителей данных (настройка на портале)
События безопасности браузера Ermes
Поддерживается:Ermes Cyber Security S.p.A.
События безопасности браузера Ermes
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Идентификатор клиента и секрет клиента Ermes: включение доступа к API в Ermes. За дополнительной информацией обратитесь в службу поддержки Ermes Cyber Security .
Инструкции по настройке:
Подключение событий безопасности браузера Ermes к Microsoft Sentinel
Подключение с помощью учетных данных OAuth2
- URL-адрес API (необязательно): (https://api.shield.ermessecurity.com)
ESET Protect Platform (с помощью Функции Azure)
Поддерживается:ESET Enterprise Integrations
Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного REST API интеграции. Rest API интеграции выполняется как запланированное приложение-функция Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IntegrationTable_CL |
Да | Да |
IntegrationTableIncidents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешение на регистрацию приложения в Microsoft Entra ID. Требуется достаточно разрешений для регистрации приложения в клиенте Microsoft Entra.
- Разрешение на назначение роли зарегистрированным приложениям. Требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложениям в Microsoft Entra ID.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Соединитель данных ESET Protect Platform использует Функции Azure для подключения к платформе ESET Protect через API Eset Connect для извлечения журналов обнаружения в Microsoft Sentinel. Этот процесс может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ПРИМЕЧАНИЕ: Последняя версия платформы ESET PROTECT и интеграции с Microsoft Sentinel извлекает не только журналы обнаружения, но и только что созданные инциденты. Если интеграция была настроена до 20.06.2025, выполните следующие действия , чтобы обновить ее.
Шаг 1. Создание пользователя API
Используйте эту инструкцию , чтобы создать учетную запись пользователя API ESET Connect с именем входа и паролем.
Шаг 2. Создание зарегистрированного приложения
Создайте зарегистрированное приложение Microsoft Entra ID, выполнив действия, описанные в инструкции Регистрация нового приложения.
Шаг 3. Развертывание соединителя данных ESET Protect Platform с помощью шаблона Azure Resource Manager (ARM)
Нажмите кнопку Развернуть в Azure ниже.
Выберите имя рабочей области Log Analytics, связанной с вашей Microsoft Sentinel. Выберите ту же группу ресурсов, что и группа ресурсов рабочей области Log Analytics.
Введите параметры зарегистрированного приложения в Microsoft Entra ID: Azure идентификатор клиента, Azure секрет клиента, Azure идентификатор клиента, идентификатор объекта. Идентификатор объекта можно найти на портале Azure, следуя этому пути, Microsoft Entra ID —> Управление (в меню слева) —> Корпоративные приложения —> идентификатор объекта (значение рядом с именем зарегистрированного приложения).
Укажите учетные записи пользователя ESET Connect API Login и Password, полученные на шаге 1.
Выберите один или несколько продуктов ESET (ESET PROTECT, ESET Inspect, ESET Cloud Office Security), из которых извлекаются обнаружения.
Локальный сборщик Аналитики безопасности Exchange
Поддерживается:Community
Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ESIExchangeConfig_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Учетная запись службы с ролью "Управление организацией". Учетная запись службы, которая запускает сценарий в качестве запланированной задачи, должна быть "Управление организацией", чтобы иметь возможность получать все необходимые сведения о безопасности.
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
1. Установите сценарий сборщика ESI на сервере с помощью Exchange Администратор консоли PowerShell
Это скрипт, который будет собирать сведения Exchange для отправки содержимого в Microsoft Sentinel.
Развертывание скриптов
Скачивание последней версии сборщика ESI
Последнюю версию можно найти здесь: https://aka.ms/ESI-ExchangeCollector-Script. Файл для скачивания CollectExchSecIns.zip
Копирование папки скрипта
Распакуйте содержимое и скопируйте папку скрипта на сервере, где находятся командлеты Exchange PowerShell.
Разблокировка скриптов PS1
Щелкните правой кнопкой мыши каждый сценарий PS1 и перейдите на вкладку Свойства. Если скрипт помечен как заблокированный, разблокируйте его. Вы также можете использовать командлет Unblock-File в распакованной папке с помощью PowerShell.
**Настройка сетевого доступа **
Убедитесь, что скрипт может связаться с Azure Analytics (*.ods.opinsights.azure.com).
2. Настройка скрипта сборщика ESI
Обязательно будьте локальным администратором сервера. В режиме "Запуск от имени администратора" запустите скрипт "setup.ps1", чтобы настроить сборщик. Заполните сведения о рабочей области Log Analytics (Microsoft Sentinel). Введите имя среды или оставьте пустым. По умолчанию выберите "Def" в качестве анализа по умолчанию. Другие варианты предназначены для конкретного использования.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
3. Запланируйте сценарий сборщика ESI (если скрипт установки не выполнил его из-за отсутствия разрешения или игнорируется во время установки)
Скрипт должен быть запланирован для отправки конфигурации Exchange в Microsoft Sentinel. Рекомендуется запланировать выполнение сценария один раз в день. Учетная запись, используемая для запуска скрипта, должна быть членом группы Управление организацией.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, для работы должным образом. Средства синтаксического анализа автоматически развертываются вместе с решением. Выполните действия, чтобы создать псевдоним Функций Kusto : ExchangeAdminAuditLogs
Средства синтаксического анализа автоматически развертываются во время развертывания решения. Если вы хотите выполнить развертывание вручную, выполните указанные ниже действия.
Развертывание средства синтаксического анализа вручную
1. Скачивание файла средства синтаксического анализа
Последняя версия файла ExchangeAdminAuditLogs
2. Создание функции Parser ExchangeAdminAuditLogs
Скопируйте содержимое файла в проводнике log analytics Microsoft Sentinel в проводник журналов.
3. Сохранение функции parser ExchangeAdminAuditLogs
Нажмите кнопку сохранить. Для этого средства синтаксического анализа параметр не требуется. Нажмите кнопку Сохранить еще раз.
Exchange Security Insights Online Collector (с помощью Функции Azure)
Поддерживается:Community
Соединитель, используемый для отправки конфигурации безопасности Exchange Online для анализа Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешения microsoft.automation/automationaccounts. Для создания служба автоматизации Azure с runbook требуются разрешения на чтение и запись. Дополнительные сведения см. в статье Учетная запись службы автоматизации.
- Разрешения Microsoft.Graph: Разрешения Groups.Read, Users.Read и Auditing.Read необходимы для получения сведений о пользователях и группах, связанных с Exchange Online назначениями. Дополнительные сведения см. в документации.
- Exchange Online разрешения: для получения конфигурации безопасности Exchange Online необходимо разрешение Exchange.ManageAsApp и роль глобального читателя или читателя безопасности.Дополнительные сведения см. в документации.
- (Необязательно) Разрешения хранилища журналов. Участник данных BLOB-объектов хранилища для учетной записи хранения, связанной с управляемым удостоверением учетной записи службы автоматизации или идентификатором приложения, является обязательным для хранения журналов. Дополнительные сведения см. в документации.
Инструкции по настройке:
ПРИМЕЧАНИЕ. ОБНОВЛЕНИЕ
Примечание.
ПРИМЕЧАНИЕ. ОБНОВЛЕНИЕ:
Рекомендуется обновить сборщик до версии 7.6.0.0 или более поздней. Процедуру обновления скрипта сборщика можно найти здесь: ESI Online Collector Update
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, для работы должным образом. Выполните действия для каждого средства синтаксического анализа, чтобы создать псевдоним Функций Kusto: ExchangeConfiguration и **ExchangeEnvironmentList , шаг 1 . Развертывание средств синтаксического анализа**
Развертывание средства синтаксического анализа (при использовании решения безопасности Microsoft Exchange средства синтаксического анализа развертываются автоматически)
1. Скачивание файлов средства синтаксического анализа
Последняя версия двух файлов ExchangeConfiguration.yaml и ExchangeEnvironmentList.yaml
2. Создание функции parser ExchangeConfiguration
Скопируйте содержимое файла в проводнике log analytics Microsoft Sentinel в проводник журналов.
3. Сохранение функции синтаксического анализа ExchangeConfiguration
Нажмите кнопку сохранить. Определите параметры, заданные в заголовке файла средства синтаксического анализа. Нажмите кнопку Сохранить еще раз.
4. Воспроизведите те же шаги для средства синтаксического анализа ExchangeEnvironmentList.
Воспроизведите шаги 2 и 3 с содержимым файла ExchangeEnvironmentList.yaml
ПРИМЕЧАНИЕ: Этот соединитель использует служба автоматизации Azure для подключения к "Exchange Online" для извлечения анализа безопасности в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на служба автоматизации Azure.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанный служба автоматизации Azure
ВАЖНО: Перед развертыванием соединителя ESI Exchange Online Security Configuration (Конфигурация безопасности ESI) необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также имя клиента Exchange Online (contoso.onmicrosoft.com).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя ESI Exchange Online Security Configuration.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя клиента, "и/или другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель "Конфигурация безопасности Exchange Online ESI" с помощью служба автоматизации Azure.
О. Создание учетной записи служба автоматизации Azure
- На портале Azure перейдите к учетной записи служба автоматизации Azure.
- Нажмите кнопку + Добавить в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя служба автоматизации Azure.
- На вкладках Дополнительно и Сеть и Теги оставьте поля по умолчанию, если их не нужно настраивать.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Добавление модуля управления Exchange Online, модулей Microsoft Graph (проверка подлинности, пользователя и группы)
- На странице Учетная запись службы автоматизации выберите Модули.
- Щелкните Обзор коллекции и выполните поиск в модуле ExchangeOnlineManagement .
- Выберите его и щелкните Выбрать.
- Выберите Версия 5.1 в поле Версия среды выполнения и нажмите кнопку Импорт. Повторите шаг для следующих модулей: Microsoft.Graph.Authentication, Microsoft.Graph.Users и Microsoft.Graph.Groups. Обратите внимание, что перед обработкой следующих модулей необходимо дождаться установки Microsoft.Graph.Authentication.
C. Скачивание содержимого Модуля Runbook
- Скачайте последнюю версию сборщика ESI. Последнюю версию можно найти здесь: https://aka.ms/ESI-ExchangeCollector-Script
- Распакуть файл, чтобы найти JSON-файл и файл PS1 для следующего шага.
D. Создание модуля Runbook
- На странице Учетная запись службы автоматизации нажмите кнопку Модули Runbook .
- Щелкните Создать модуль Runbook и присвойте ему имя "ESI-Collector" с типом Runbook PowerShell, runtime версии 5.1 и нажмите кнопку "Создать".
- Импортируйте содержимое ps1-файла предыдущего шага в окне Runbook.
- Щелкните Опубликовать.
Д. Создание переменной GlobalConfiguration
- На странице Учетная запись службы автоматизации нажмите кнопку Переменные .
- Щелкните Добавить переменную и назовите ее exaclty GlobalConfiguration с помощью типа String.
- Скопируйте содержимое JSON-файла предыдущего шага в поле "Значение".
- В содержимом замените значения WorkspaceID и WorkspaceKey.
- Нажмите кнопку "Создать".
F. Создание переменной tenantName
- На странице Учетная запись службы автоматизации нажмите кнопку Переменные .
- Щелкните Добавить переменную и назовите ее exaclty "TenantName" с помощью типа String.
- В поле "Значение" введите имя клиента Exchange Online.
- Нажмите кнопку "Создать".
Г. Создание переменной LastDateTracking
- На странице Учетная запись службы автоматизации нажмите кнопку Переменные .
- Щелкните Добавить переменную и присвойте ей имя LastDateTracking с помощью типа String.
- В поле "Значение" напишите "Никогда".
- Нажмите кнопку "Создать".
H. Создание расписания Runbook
- На странице Учетная запись службы автоматизации нажмите кнопку Runbook и щелкните созданный модуль Runbook.
- Нажмите кнопку Расписания и Добавить расписание .
- Щелкните Расписание, Добавить расписание и присвойте ему имя. Выберите Повторяющееся значение с повторением каждые 1 день, нажмите кнопку "Создать".
- Щелкните "Настройка параметров и запуск параметров". Оставьте все пустыми и снова нажмите кнопки ОК и ОК .
ШАГ 3. Назначение разрешения Microsoft Graph и разрешения Exchange Online учетной записи управляемого удостоверения
Чтобы иметь возможность собирать Exchange Online сведения и получать сведения о пользователях и списке участников групп администраторов, учетной записи службы автоматизации требуется несколько разрешений.
Назначение разрешений по скрипту
О. Скачивание скрипта разрешений
Б. Получите GUID управляемого удостоверения служба автоматизации Azure и вставьте его в скачанный скрипт.
- Перейдите к учетной записи службы автоматизации в разделе Удостоверения . Вы можете найти guid управляемого удостоверения.
- Замените GUID в $MI_ID = "XXXXXXXXXXXX" на GUID управляемого удостоверения.
C. Запуск сценария с учетной записью глобального администратора
Обратите внимание, что для доступа к клиенту с помощью Microsoft Graph требуются модули MSGraph и Администратор согласие. Скрипт добавит 3 разрешения на управляемое удостоверение: 1. Exchange Online ManageAsApp разрешение 2. User.Read.All в Microsoft API Graph 3. Group.Read.All в Microsoft API Graph
D. Назначение ролей Exchange Online
- Как глобальный администратор перейдите в раздел Роли и администраторы.
- Выберите Роль глобального читателя или Читатель безопасности и щелкните "Добавить назначения".
- Щелкните "Не выбран член" и выполните поиск по имени учетной записи управляемого удостоверения, начинающегося по имени учетной записи службы автоматизации , например "ESI-Collector". Выберите его и нажмите кнопку "Выбрать".
- Нажмите кнопку Далее и проверьте назначение, нажав кнопку Назначить.
Соединитель данных обнаружения экстрахопа
Поддерживается:Поддержка ExtraHop
Соединитель данных Обнаружения экстрахопа позволяет импортировать данные обнаружения из ExtraHop RevealX в Microsoft Sentinel с помощью полезных данных веб-перехватчика. Данные приемуются с помощью API Azure monitor log ingestion с помощью правила сбора данных (DCR).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ExtraHop_Detections_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID, создания конечной точки сбора данных, правила сбора данных и назначения необходимых ролей.
- Microsoft Entra регистрация приложений. Требуется Microsoft Entra ID регистрация приложений (субъект-служба) с секретом клиента. Необходимо указать идентификатор объекта приложения, чтобы развертывание назначить ему необходимую роль для публикации журналов с помощью API приема журналов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешения ExtraHop RevealX: в системе ExtraHop RevealX требуется следующее:
- В системе RevealX должно быть установлено встроенное ПО версии 9.9.2 или более поздней.
- Система RevealX должна быть подключена к ExtraHop Облачные службы.
- Ваша учетная запись пользователя должна иметь права системного администрирования в RevealX 360 или права на полную запись в RevealX Enterprise.
Инструкции по настройке:
ПРИМЕЧАНИЕ. Этот соединитель использует Функции Azure для получения полезных данных веб-перехватчика ExtraHop и приема их в Microsoft Sentinel с помощью API приема журналов Azure monitor (прием на основе DCR). Это заменяет устаревший API сборщика данных HTTP Log Analytics. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение учетных данных API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, которая развертывается в составе решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Журналы, щелкните Функции и найдите псевдоним ExtraHopDetections. и загрузите код функции или щелкните здесь. Обычно для активации функции требуется 10–15 минут после установки или обновления решения.
Конфигурации:
Шаг 1. Действия по регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения (например,
ExtraHopSentinelConnector). - Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных ExtraHop.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 2. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, является строковым значением, необходимым для выполнения соединителя данных ExtraHop. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных ExtraHop.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 3. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectID , необходимый для назначения роли шаблона ARM.
ШАГ 4. Развертывание соединителя данных ExtraHop
ВАЖНО: Перед развертыванием соединителя Данных ExtraHop необходимо иметь Microsoft Entra ID сведения о регистрации приложения (идентификатор клиента, секрет клиента, идентификатор клиента и идентификатор объекта).
Разверните соединитель данных обнаружения экстрахопов:
Используйте этот метод для автоматического развертывания соединителя данных обнаружения экстрахопов.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите следующие сведения:
А. FunctionName — введите имя приложения-функции (используется для имен всех связанных ресурсов). Должно содержать от 1 до 11 символов. По умолчанию:
ExtraHopБ. Расположение — расположение, в котором должны быть развернуты правила сбора данных и конечные точки сбора данных.
c. WorkspaceName — введите Microsoft Sentinel имя рабочей области Log Analytics.
d. AzureClientId — введите Azure идентификатор клиента, созданный во время регистрации приложения.
e. AzureClientSecret — введите Azure секрет клиента, созданный при создании секрета клиента.
f. AzureEntraObjectID — введите идентификатор объекта приложения Microsoft Entra
ж. TenantId — введите идентификатор клиента Microsoft Entra ID
з. DetectionsTableName — введите имя таблицы, используемой для хранения журналов обнаружения экстрахопа. Значение по умолчанию — "ExtraHop_Detections".
и. LogLevel — выберите уровень журнала или значение серьезности журнала в разделе Отладка, Информация, Ошибка, Предупреждение. По умолчанию задано значение Сведения.
к. AppInsightsWorkspaceResourceID — миграция классической Application Insights в рабочую область Log Analytic, которая прекращается до 29 февраля 2024 г. Используйте колонку "Рабочая область Log Analytic -> Свойства" со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
ШАГ 5. После развертывания
После успешного развертывания настройте подключение веб-перехватчика из ExtraHop RevealX к Microsoft Sentinel.
1) Получение конечной точки приложения-функции
- Перейдите на страницу обзора функции Azure и перейдите на вкладку Функции.
- Щелкните функцию ExtraHopHttpStarter.
- Перейдите в раздел Получить URL-адрес функции и скопируйте URL-адрес функции, доступный по умолчанию (ключ функции).
- Замените {functionname} на ExtraHopDetectionsOrchestrator в скопированном URL-адресе функции.
2) Настройка подключения к Microsoft Sentinel и указание условий полезных данных веб-перехватчика из RevealX
В системе ExtraHop настройте интеграцию Microsoft Sentinel, чтобы установить соединение между Microsoft Sentinel и ExtraHop RevealX, а также создать правила уведомлений об обнаружении, которые будут отправлять данные веб-перехватчика в Microsoft Sentinel. Подробные инструкции см. в статье Интеграция ExtraHop RevealX с Microsoft Sentinel SIEM.
После настройки правил уведомлений и получения данных веб-перехватчика Microsoft Sentinel активируется приложение-функция, и вы можете просматривать обнаружения ExtraHop из настраиваемой таблицы рабочей области Log Analytics. Используйте функцию средства синтаксического анализа ExtraHopDetections для нормализованного представления данных.
F5 BIG-IP
Поддерживается:F5 Networks
Соединитель брандмауэра F5 позволяет легко подключать журналы F5 к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
F5Telemetry_LTM_CL |
Нет | Нет |
F5Telemetry_system_CL |
Да | Да |
F5Telemetry_ASM_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Настройка и подключение F5 BIGIP
Чтобы подключить F5 BIGIP, необходимо опубликовать объявление JSON в конечной точке API системы. Инструкции по этому способу см. в статье Интеграция F5 BGIP с Microsoft Sentinel.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Feedly IoC
Поддерживается:Feedly Inc
Соединитель данных Feedly IoC предоставляет возможность приема индикаторов компрометации (IoCs) из API Feedly в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
feedly_indicators_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к ВЕБ-API. Требуется доступ к API feedly. Вам нужен маркер API feedly с доступом к потокам Интернета вещей, которые вы хотите принять. Создайте маркер API по адресу https://feedly.com/i/team/api
Инструкции по настройке:
Подключитесь к Feedly, чтобы начать сбор ioCs в Microsoft Sentinel
- Перейдите по адресу https://feedly.com/i/team/api и создайте новый маркер API для соединителя.
- В Sentinel на странице соединителя укажите ключ API для веб-канала и идентификаторы Stream. Затем нажмите кнопку "Подключить".
- Ключ API для канала: (введите токен API для веб-канала)
- Идентификаторы Stream: (streamId1,streamId2,streamId3)
- Включение и отключение подключения
Соединитель push-уведомлений Flare
Поддерживается:Flare
Соединитель Flare предоставляет возможность приема аналитики угроз и раскрытия данных из Flare в Microsoft Sentinel. Flare идентифицирует цифровые активы вашей компании, которые стали общедоступными из-за человеческих ошибок или вредоносных атак, включая утечку учетных данных, открытые облачные контейнеры, упоминания darkweb и многое другое.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FireworkV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR).
- Flare: разрешение на настройку интеграции Microsoft Sentinel в Flare.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель позволяет Flare отправлять данные об угрозе в Microsoft Sentinel. Если в Flare включена пересылка данных, необработанные данные событий безопасно отправляются в API приема Microsoft Sentinel.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" создаст таблицы Log Analytics и правило сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Настройка Flare для отправки журналов в Microsoft Sentinel
Используйте следующие параметры, чтобы настроить Flare для отправки журналов в рабочую область.
- идентификатор приложения (клиента) Entra: <значение переменной, указанное во время установки>
- Entra directory (tenant) ID: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- URL-адрес приема журнала: <значение переменной, указанное во время установки>
3. Настройка канала оповещений в Flare
Администратор организации может настроить канал оповещений в Flare для отправки данных в Sentinel.
- Проверка подлинности в Flare
- Перейдите на страницу оповещений, чтобы создать новый канал оповещений .
- Выберите "Microsoft Sentinel" и скопируйте указанные выше поля в форму.
Дополнительные сведения см. в документации по Flare.
Защита от потери данных в Принудительной точке
Поддерживается:Community
Соединитель Forcepoint DLP (защита от потери данных) позволяет автоматически экспортировать данные об инцидентах защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дальнейшую корреляцию с данными из рабочих нагрузок Azure и других веб-каналов, а также улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForcepointDLPEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Чтобы настроить этот соединитель, выполните пошаговые инструкции в документации по Forcepoint DLP для Microsoft Sentinel.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Forescout
Поддерживается корпорациейМайкрософт
Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации по Forescout .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForescoutEvent |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, forescoutEvent, которая развертывается вместе с решением Microsoft Sentinel.
ПРИМЕЧАНИЕ: Этот соединитель данных был разработан с помощью подключаемого модуля Forescout Syslog версии 3.6
1. Установка и подключение агента для Linux или Windows
Установите агент на сервере, где пересылаются журналы Forescout.
Журналы с сервера Forescout, развернутого на серверах Linux или Windows, собираются агентами Linux или Windows.
Выберите место для установки агента Linux:
Установка агента на виртуальной машине Azure Linux
Выберите компьютер, на котором будет установлен агент, и нажмите кнопку Подключить.
- Агент установки: <значение переменной, указанное во время установки>
Установка агента на компьютере, отличном от Azure Linux
Скачайте агент на соответствующий компьютер и следуйте инструкциям.
- Агент установки: <значение переменной, указанное во время установки>
Выберите место для установки агента Windows:
Установка агента на Azure виртуальной машине Windows
Выберите компьютер, на котором будет установлен агент, и нажмите кнопку Подключить.
- Агент установки: <значение переменной, указанное во время установки>
Установка агента на компьютере, отличном от Azure Windows
Скачайте агент на соответствующий компьютер и следуйте инструкциям.
- Агент установки: <значение переменной, указанное во время установки>
2. Настройка собираемых журналов
Настройте объекты, которые требуется собрать, и их серьезность.
- В разделе Конфигурация дополнительных параметров рабочей области выберите Данные, а затем — Системный журнал.
- Выберите Применить приведенную ниже конфигурацию к моим компьютерам и выберите средства и уровни серьезности.
- Нажмите кнопку Сохранить.
- Агент установки: <значение переменной, указанное во время установки>
3. Настройка переадресации событий Forescout
Выполните приведенные ниже действия по настройке, чтобы получить журналы Forescout в Microsoft Sentinel.
- Выберите устройство для настройки.
- Следуйте этим инструкциям, чтобы перенаправить оповещения с платформы Forescout на сервер системного журнала.
- Настройте параметры на вкладке Триггеры системного журнала.
Монитор свойств узла Forescout
Поддерживается корпорациейМайкрософт
Соединитель Монитора свойств узла Forescout позволяет подключать свойства узла из платформы Forescout с Microsoft Sentinel, просматривать, создавать пользовательские инциденты и улучшать исследование. Это позволяет получить больше сведений о сети организации и улучшить возможности операций по обеспечению безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForescoutHostProperties_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Требование подключаемого модуля Forescout. Убедитесь, что подключаемый модуль Forescout Microsoft Sentinel запущен на платформе Forescout.
Инструкции по настройке:
Инструкции по настройке подключаемого модуля Forescout Microsoft Sentinel приведены на портале документации по Forescout (https://docs.forescout.com/bundle/sentinel-1-0-h)
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Fortinet FortiNDR Cloud
Поддерживается:Fortinet
Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью облачного API FortiNDR.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FncEventsSuricata_CL |
Нет | Нет |
FncEventsObservation_CL |
Нет | Нет |
FncEventsDetections_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные MetaStream. Для получения данных о событиях требуются идентификатор ключа доступа AWS, секретный ключ доступа AWS, код облачной учетной записи FortiNDR .
- Учетные данные API. Для получения данных об обнаружении требуются маркер облачного API FortiNDR, UUID облачной учетной записи FortiNDR .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к облачному API FortiNDR для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ. Этот соединитель использует средство синтаксического анализа на основе функции Kusto для нормализации полей. Выполните следующие действия , чтобы создать псевдоним функции Kusto Fortinet_FortiNDR_Cloud.
ШАГ 1. Действия по настройке для коллекции журналов Fortinet FortiNDR Cloud
Поставщик должен предоставить ссылку на подробные инструкции по настройке конечной точки API "ИМЯ ПРИЛОЖЕНИЯ ПОСТАВЩИКА", чтобы функция Azure могла успешно пройти проверку подлинности, получить ключ авторизации или маркер и извлечь журналы (модуль) в Microsoft Sentinel.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием облачного соединителя Fortinet FortiNDR необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также учетные данные FortiNDR Cloud API (доступные в управлении облачными учетными записями FortiNDR).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания облачного соединителя Fortinet FortiNDR.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение(Убедитесь, что используется то же расположение, что и группа ресурсов, и расположение поддерживает Flex Consumption.
Введите поля Идентификатор рабочей области, Ключ рабочей области, AwsAccessKeyId, AwsSecretAccessKey и(или) Другие обязательные поля.
Нажмите кнопку Создать , чтобы развернуть.
Соединитель данных Fortra Agari (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Fortra Agari позволяет принимать журналы из API Fortra Agari в Microsoft Sentinel. Этот соединитель интегрируется с продуктами Agari Brand Protection (BP), защиты от фишинга (APD) и защиты от фишинга (APR). Он поддерживает преобразования времени приема на основе DCR для эффективного выполнения запросов. Дополнительные сведения см. в документации по API Agari .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AgariBPAlertsLog_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Действия по настройке API Agari
Следуйте приведенным ниже инструкциям, чтобы получить учетные данные API Agari.
Получите URL-адрес API Войдите в консоль Agari и перейдите к разделу API. URL-адрес API по умолчанию : https://api.agari.com
Получение учетных данных клиента. Получите идентификатор клиента и секрет клиента из раздела Учетные данные API в учетной записи Agari. Обратите внимание, что для разных продуктов Agari (защита от бренда, защита от фишинга, реакция на фишинг) могут потребоваться отдельные учетные данные API.
Выберите Потоки данных Выберите потоки данных Agari, которые требуется собрать. Вы можете выбрать один или несколько потоков в зависимости от вашей подписки и требований.
- Базовый URL-адрес API: (https://api.agari.com)
- Идентификатор клиента: (ваш идентификатор клиента)
- Секрет клиента: (секрет клиента)
- Включение и отключение подключения
Удаленные журналы Garrison ULTRA (с помощью Функции Azure)
Поддерживается:Garrison
Соединитель Удаленных журналов Garrison ULTRA позволяет принимать удаленные журналы Garrison ULTRA в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Garrison ULTRA: чтобы использовать этот соединитель данных, у вас должна быть активная лицензия Garrison ULTRA .
Инструкции по настройке:
Развертывание — шаблон Azure Resource Manager (ARM)
В этих шагах описывается автоматическое развертывание соединителя данных Удаленных журналов Garrison ULTRA с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Укажите необходимые сведения, такие как группа ресурсов, Microsoft Sentinel рабочая область и конфигурации приема.
ПРИМЕЧАНИЕ: Рекомендуется создать новую группу ресурсов для развертывания этих ресурсов. 3. Установите флажок Я принимаю указанные выше условия. 4. Щелкните Приобрести для развертывания.
GCP Cloud Run (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных GCP Cloud Run предоставляет возможность приема журналов запросов Cloud Run в Microsoft Sentinel с помощью pub/sub. Дополнительные сведения см. в статье Обзор запуска в облаке .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCloudRun |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение GCP Cloud Run к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включите журналы запуска в облаке В консоли Google Cloud включите ведение журнала в облаке, если ранее не включено, и сохраните изменения. Разверните или обновите службы Cloud Run с включенным ведением журнала.
Ссылка на ссылку: ссылка на документацию
- Подключение новых сборщиков. Чтобы включить журналы запросов GCP Cloud Run для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
GCP Cloud SQL (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных GCP Cloud SQL предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API GCP Cloud SQL. Дополнительные сведения см. в документации по журналам аудита облачного SQL GCP .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCloudSQL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение GCP Cloud SQL к Microsoft Sentinel
- Идентификатор клиента: уникальный идентификатор, который используется в качестве входных данных в конфигурации terraform в среде GCP.: <переменное значение, указанное во время установки.>
В консоли Google Cloud включите API Cloud SQL (если он не включен ранее) и сохраните изменения.
Подключение новых сборщиков. Чтобы включить журналы GCP Cloud SQL для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
Журналы аудита публикации и подсети GCP
Поддерживается корпорациейМайкрософт
Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Microsoft Sentinel, позволяют собирать журналы аудита трех типов: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы облачного аудита Google записывают след, который специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPAuditLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Подключение новых сборщиков. Чтобы включить журналы аудита GCP для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
Журналы GCP Pub/Sub Load Balancer (через платформу соединителя без кода).
Поддерживается корпорациейМайкрософт
Журналы Google Cloud Platform (GCP) Load Balancer содержат подробные сведения о сетевом трафике, фиксируя как входящие, так и исходящие действия. Эти журналы используются для мониторинга шаблонов доступа и выявления потенциальных угроз безопасности в ресурсах GCP. Кроме того, эти журналы также включают журналы GCP Брандмауэр веб-приложений (WAF), что повышает способность эффективно обнаруживать и устранять риски.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPLoadBalancerLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включение журналов Load Balancer В учетной записи GCP перейдите к разделу Load Balancer. Здесь можно отменить [серверную службу] —> [Изменить], как только вы находитесь в [серверной службе] в разделе [Ведение журнала] установите флажок [Включить журналы]. После открытия правила переключите переключатель в разделе Журналы в положение Включено и сохраните изменения.
Дополнительные сведения см. в статье Ссылка на документацию.
- Подключение новых сборщиков. Чтобы включить журналы GCP Load Balancer для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
Журналы потоков GCP Pub/Sub VPC (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Журналы потоков VPC google Cloud Platform (GCP) позволяют записывать активность сетевого трафика на уровне VPC, позволяя отслеживать шаблоны доступа, анализировать производительность сети и обнаруживать потенциальные угрозы для ресурсов GCP.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPVPCFlow |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включите журналы потоков VPC В учетной записи GCP перейдите в раздел сеть VPC. Выберите подсеть, которую вы хотите отслеживать, и включите журналы потоков в разделе Ведение журнала.
Дополнительные сведения см. в документации по Google Cloud.
- Подключение новых сборщиков. Чтобы включить журналы потоков GCP VPC для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, введите необходимые сведения в области контекста и нажмите кнопку Подключить.
Соединитель Gigamon AMX
Поддерживается:Gigamon
Соединитель Gigamon предоставляет возможность считывания необработанных данных о событиях из Gigamon в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GigamonV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель считывает данные из таблиц, которые Gigamon CCF использует в рабочей области Microsoft Analytics. Если параметр пересылки данных включен в Gigamon CCF, то необработанные данные событий отправляются в API приема Microsoft Sentinel.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Отправка журналов в рабочую область
Используйте следующие параметры, чтобы настроить компьютер для отправки журналов в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя Stream действия: <значение переменной, указанное во время установки>
- Имя Stream угрозы: <значение переменной, указанное во время установки>
GitHub (использование веб-перехватчиков)
Поддерживается корпорациейМайкрософт
Соединитель данных веб-перехватчика GitHub предоставляет возможность принимать события, подписанные на GitHub, в Microsoft Sentinel с помощью событий веб-перехватчика GitHub. Соединитель предоставляет возможность получать события в Microsoft Sentinel что помогает анализировать потенциальные риски безопасности, анализировать использование командой совместной работы, диагностировать проблемы конфигурации и многое другое.
Примечание: Если вы хотите принимать журналы аудита GitHub, ознакомьтесь с разделом GitHub Enterprise Audit Log Connector из коллекции "Соединители данных".
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
githubscanaudit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель создан на основе триггера HTTP на основе функции Azure. Кроме того, он предоставляет конечную точку, к которой github будет подключен через возможность веб-перехватчика и публикует подписанные события в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя веб-перехватчика Github у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных GitHub с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе и развертывать. 3. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных веб-перехватчика GitHub с помощью Функции Azure (Развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): WorkspaceID WorkspaceKey logAnalyticsUri (необязательно) — используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us. - После ввода всех параметров приложения нажмите кнопку Сохранить.
Шаги после развертывания
ШАГ 1. Получение URL-адреса функции Azure
- Перейдите на страницу Azure обзор функции и щелкните "Функции" в левой колонке.
- Щелкните функцию GithubwebhookConnector.
- Перейдите по адресу GetFunctionurl и скопируйте URL-адрес функции.
ШАГ 2. Настройка веб-перехватчика для Github Organization
- Перейдите на сайт GitHub , откройте свою учетную запись и щелкните "Ваши организации".
- Щелкните Параметры.
- Щелкните "Веб-перехватчики" и введите URL-адрес приложения-функции, который был скопирован из выше шага 1 в текстовом поле URL-адрес полезных данных.
- Выберите тип контента "application/json".
- Подпишитесь на события и щелкните "Добавить веб-перехватчик"
Теперь мы закончили работу с конфигурацией веб-перехватчика github. После активации событий github и задержки от 20 до 30 минут (Так как logAnalytics впервые запустит ресурсы), вы сможете увидеть все события транзакций из Github в таблице рабочей области LogAnalytics с именем "githubscanaudit_CL".
Дополнительные сведения см. здесь.
Журнал аудита GitHub Enterprise (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания пользовательских оповещений и улучшения процесса исследования.
Примечание: Если вы планируете принимать события, подписанные на GitHub, в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных".
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GitHubAuditLogsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Личный маркер доступа API GitHub. Чтобы включить опрос для журнала аудита Enterprise, убедитесь, что прошедший проверку подлинности пользователь является администратором enterprise и имеет личный маркер доступа GitHub (классический) с
read:audit_logобласть. - Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.
Инструкции по настройке:
Подключение журнала аудита корпоративного уровня GitHub к Microsoft Sentinel
Включите журналы аудита GitHub. Следуйте этому руководству , чтобы создать или найти личный маркер доступа.
- Сетка соединителей данных (настройка на портале)
Google ApigeeX (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google ApigeeX предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API Google Apigee. Дополнительные сведения см. в документации по API Google Apigee .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPApigee |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение Google ApigeeX к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
Включите журналы ApigeeX в консоли Google Cloud, включите API Apigee, если он не включен ранее, и сохраните изменения.
Подключение новых сборщиков. Чтобы включить журналы ApigeeX для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Google Cloud Platform CDN (через codeless Connector Framework)
Поддерживается корпорациейМайкрософт
Соединитель данных CDN для Google Cloud Platform предоставляет возможность приема журналов аудита облачных CDN и журналов трафика ОБЛАЧНЫХ CDN в Microsoft Sentinel с помощью API вычислительной подсистемы. Дополнительные сведения см. в документе Обзор продукта .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCDN |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение GCP CDN к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включите журналы CDN в консоли Google Cloud, включите ведение журнала в облаке, если ранее не включено, и сохраните изменения. Перейдите в раздел Cloud CDN и щелкните Добавить источник, чтобы создать серверную часть по ссылке, приведенной ниже.
Ссылка на ссылку: ссылка на документацию
- Подключение новых сборщиков. Чтобы включить журналы GCP Cloud CDN для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Google Cloud Platform Cloud IDS (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google Cloud Platform IDS предоставляет возможность приема журналов трафика cloud IDS, журналов угроз и журналов аудита в Microsoft Sentinel с помощью API Google Cloud IDS. Дополнительные сведения см. в документации по API Cloud IDS .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPIDS |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение GCP Cloud IDS к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включите журналы IDS В консоли Google Cloud включите API cloud IDS, если он не включен ранее. Создайте конечную точку IDS и сохраните изменения.
Дополнительные сведения о создании и настройке конечной точки IDS см. в статье Ссылка на документацию.
- Подключение новых сборщиков. Чтобы включить журналы GCP IDS для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Google Cloud Platform Cloud Monitoring (с помощью codeless Connector Framework)
Поддерживается корпорациейМайкрософт
Соединитель данных google Cloud Platform Cloud Monitoring ( Google Cloud Platform Cloud Monitoring Data) Microsoft Sentinel использует API мониторинга Google Cloud. Дополнительные сведения см. в документации по API мониторинга облака .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPMonitoring |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение Google Cloud Platform Cloud Monitoring к Microsoft Sentinel
Настройка интеграции мониторинга GCP. Для получения журналов из GCP Cloud Monitoring Sentinel требуется идентификатор проекта облака Google.
Выберите тип метрики . Чтобы собирать журналы из Google Cloud Monitoring, укажите необходимый тип метрики.
Дополнительные сведения см. в статье Google Cloud Metrics.
Учетные данные OAuth для получения идентификатора клиента Oauth и секрета клиента см. в этой документации.
Подключитесь к Sentinel Нажмите кнопку Подключиться, чтобы начать извлекать журналы мониторинга из Google Cloud в Microsoft Sentinel.
- Идентификатор проекта GCP:
- Тип метрики:
- Сетка соединителей данных (настройка на портале)
Модуль вычислений облачной платформы Google (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google Cloud Platform Compute Engine предоставляет возможность приема журналов аудита вычислительной подсистемы в Microsoft Sentinel с помощью API Google Cloud Compute Engine. Дополнительные сведения см. в документации по API облачной вычислительной подсистемы .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPComputeEngine |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение модуля вычислений GCP к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
Включите журналы вычислительной подсистемы В консоли Google Cloud включите API вычислительной подсистемы ,если он не включен ранее, и сохраните изменения.
Подключение новых сборщиков. Чтобы включить журналы подсистемы вычислений для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Google Cloud Platform DNS (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных GOOGLE Cloud Platform DNS предоставляет возможность приема журналов облачных запросов DNS и журналов аудита облачных DNS в Microsoft Sentinel с помощью API GOOGLE Cloud DNS. Дополнительные сведения см. в документации по API CLOUD DNS .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPDNS |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение GCP DNS к Microsoft Sentinel **
ПРИМЕЧАНИЕ: Если оба Azure Функция и соединитель CCF работают одновременно, в таблицах заполняются дублирующиеся данные.
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включите журналы DNS В консоли Google Cloud перейдите в раздел Cloud DNS. Включите ведение журнала в облаке, если он не включен ранее, и сохраните изменения. Здесь можно управлять существующими зонами или создать новую зону и создать политики для зоны, которую вы хотите отслеживать.
Дополнительные сведения см. в статье Ссылка на документацию.
- Подключение новых сборщиков. Чтобы включить журналы DNS GCP для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Google Cloud Platform IAM (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных IAM облачной платформы Google позволяет принимать журналы аудита, связанные с действиями управления удостоверениями и доступом (IAM) в Google Cloud, в Microsoft Sentinel с помощью API IAM Google. Дополнительные сведения см. в документации по API IAM GCP .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPIAM |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение GCP IAM к Microsoft Sentinel
ПРИМЕЧАНИЕ: Если оба соединителя функции Azure и соединителя CCF выполняются параллельно, в таблицах заполняются дублирующиеся данные.
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Чтобы включить журналы IAM в учетной записи GCP, перейдите к разделу IAM. После этого можно создать нового пользователя или изменить роль существующего пользователя, которую вы хотите отслеживать. Обязательно сохраните изменения.
Дополнительные сведения см. в статье Ссылка на документацию.
- Подключение новых сборщиков. Чтобы включить журналы GCPIAM для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, заполните необходимые сведения в области контекста и нажмите кнопку Подключить.
NAT облачной платформы Google (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных NAT google Cloud Platform предоставляет возможность приема журналов аудита облачных NAT и журналов трафика NAT облака в Microsoft Sentinel с помощью API вычислительной подсистемы. Дополнительные сведения см. в документе Обзор продукта .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPNATAudit |
Да | Да |
GCPNAT |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение GCP NAT к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Включите журналы NAT в консоли Google Cloud, включите ведение журнала в облаке, если ранее не включено, и сохраните изменения. Перейдите в раздел Cloud NAT и щелкните Добавить источник, чтобы создать серверную часть, как по ссылке ниже.
Ссылка на ссылку: ссылка на документацию
- Подключение новых сборщиков. Чтобы включить журналы GCP Cloud NAT для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Google Cloud Platform Resource Manager (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google Cloud Platform Resource Manager предоставляет возможность приема Resource Manager Resource Manager журналов Администратор активности и аудита доступа к данным в Microsoft Sentinel с помощью API облачной Resource Manager. Дополнительные сведения см. в документе Обзор продукта .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPResourceManager |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Подключение GCP Resource Manager к Microsoft Sentinel **
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
Включите журналы Resource Manager в консоли Google Cloud, включите API диспетчера облачных ресурсов, если он не включен ранее, и сохраните изменения. Убедитесь, что у вашей учетной записи есть разрешения IAM на уровне организации, чтобы просмотреть все журналы в иерархии ресурсов. По ссылкам на документы можно ознакомиться с различными разрешениями IAM для управления доступом с помощью IAM на каждом уровне, указанном по этой ссылке.
Подключение новых сборщиков. Чтобы включить журналы GCP Resource Manager для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения во всплывающем окне и нажмите кнопку Подключить.
Модуль Google Kubernetes (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Журналы google Kubernetes Engine (GKE) позволяют записывать действия кластера, поведение рабочей нагрузки и события безопасности, позволяя отслеживать рабочие нагрузки Kubernetes, анализировать производительность и обнаруживать потенциальные угрозы в кластерах GKE.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GKEAudit |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
Включение ведения журнала модуля Kubernetes В учетной записи GCP перейдите в раздел Модуль Kubernetes. Включите ведение журнала в облаке для кластеров. В рамках ведения журнала в облаке убедитесь, что определенные журналы, которые вы хотите принять, такие как сервер API, планировщик, диспетчер контроллеров, решения HPA и журналы приложений, включены для эффективного мониторинга и анализа безопасности.
Подключение новых сборщиков. Чтобы включить журналы GKE для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, введите необходимые сведения в области контекста и нажмите кнопку Подключить.
Центр команд безопасности Google
Поддерживается корпорациейМайкрософт
Центр управления безопасностью Google Cloud Platform (GCP) — это комплексная платформа управления безопасностью и рисками для Google Cloud, полученная из соединителя Sentinel. Он предлагает такие функции, как инвентаризация и обнаружение активов, обнаружение уязвимостей и угроз, а также устранение рисков и исправление рисков, чтобы помочь вам получить представление о безопасности и области атак с данными в вашей организации. Такая интеграция позволяет более эффективно выполнять задачи, связанные с выводами и ресурсами.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GoogleCloudSCC |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
- Настройка среды GCP. Необходимо определить и настроить следующие ресурсы GCP: раздел, подписка для раздела, пул удостоверений рабочей нагрузки, поставщик удостоверений рабочей нагрузки и учетная запись службы с разрешениями на получение и использование из подписки. Terraform предоставляет API для IAM, который создает ресурсы. Ссылка на скрипты Terraform.
- Идентификатор клиента. Уникальный идентификатор, который используется в качестве входных данных в конфигурации Terraform в среде GCP.: <переменное значение, указанное во время установки.>
- Подключение новых сборщиков. Чтобы включить GCP SCC для Microsoft Sentinel, нажмите кнопку Добавить новый сборщик, укажите необходимые сведения в области контекста и нажмите кнопку Подключить.
Действия Google Workspace (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных действий Google Workspace предоставляет возможность приема событий активности из API Google Workspace в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GoogleWorkspaceReports |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API Google Workspace. Требуется доступ к API действий Google Workspace через Oauth.
Инструкции по настройке:
Подключитесь к Google Workspace, чтобы начать сбор журналов действий пользователей в Microsoft Sentinel
Действия по настройке API отчетов Google
- Войдите в облачную консоль Google с помощью рабочей области Администратор учетные https://console.cloud.google.comданные .
- С помощью параметра поиска (доступно в верхней середине) выполните поиск API & Services.
- В разделе API-интерфейсы & Службы с>поддержкой API & Services включите API пакета SDK для Администратор для этого проекта.
- Перейдите в раздел API & Службы ->Экран согласия OAuth. Если он еще не настроен, создайте экран согласия OAuth, выполнив следующие действия.
- Укажите имя приложения и другие обязательные сведения.
- Выберите Внешний тип пользователя для аудитории.
- Перейдите в раздел API & Services ->Credentials и создайте идентификатор клиента OAuth 2.0.
- Щелкните Создать учетные данные в верхней части окна и выберите Идентификатор клиента Oauth.
- Выберите Веб-приложение в раскрывающемся списке Тип приложения.
- Укажите подходящее имя для веб-приложения и добавьте URI перенаправления в форме ниже в качестве URI авторизованного перенаправления.
- После нажатия кнопки Создать вам будут предоставлены идентификатор клиента и секрет клиента. Скопируйте эти значения и используйте их на приведенных ниже шагах по настройке.
- Перейдите к Google Auth Platform ->Data Access: add Администратор SDK API область
Настройте шаги для доступа к API Отчетов Google oauth. Затем укажите необходимые сведения ниже и нажмите кнопку Подключить.
- Сетка соединителей данных (настройка на портале)
Соединитель данных GravityZone
Поддерживается:Bitdefender SRL
Этот соединитель обеспечивает интеграцию между Bitdefender GravityZone и Microsoft Sentinel через API службы отправки событий. После настройки все типы событий GravityZone передаются непосредственно в рабочую область Microsoft Sentinel, где они хранятся в виде журналов в GzSecurityEvents_CL таблице.
Ключевые категории событий, такие как EDR, XDR, защита от программ-шантажистов, сетевая песочница и события вредоносных программ Exchange, можно автоматически сопоставлять и создавать инциденты с помощью правила аналитики оповещений об инцидентах NRT GravityZone .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GzSecurityEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- регистрация приложение Azure: Microsoft Entra регистрация приложения со следующими сведениями, сохраненными идентификатором каталога (клиента), идентификатором приложения (клиента), идентификатором управляемого объекта субъекта-службы (из записи "Корпоративные приложения" приложения), секретом клиента (созданным в разделе Сертификаты & секреты).
- Облачная учетная запись GravityZone. Облачная учетная запись GravityZone с созданным ключом API для конечной точки службы отправки событий.
- Ознакомьтесь с нашим руководством. Следуйте инструкциям в этой пошаговой статье, чтобы настроить интеграцию. Клиентов | Партнеров
Инструкции по настройке:
- Нажмите кнопку Развернуть в Azure ниже и введите необходимые параметры.
Сбор URL-адреса приема журналов из
gz-sentinel-dceконечной точки сбора данныхСбор неизменяемого идентификатора из
gz-sentinel-dcrправила сбора данныхПерейдите к учетной записи GravityZone Cloud и перейдите к разделу Моя учетная запись. Создайте ключ API с разрешениями службы отправки событий .
Настройте параметры службы отправки событий с помощью этой статьи. Клиентов | Партнеры. Обратите внимание, что после успешного развертывания соединителя данных & успешной настройки службы отправки событий GravityZone система будет получать данные журнала действий практически в режиме реального времени. Между передачей данных и их появлением в разделе журналов Microsoft Sentinel может возникнуть небольшая задержка.
GreyNoise Threat Intelligence
Поддерживается:GreyNoise
Этот соединитель данных устанавливает приложение функции Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelIndicators в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelIndicators |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Ключ API GreyNoise. Получите ключ API GreyNoise здесь.
Инструкции по настройке:
**Вы можете подключить GreyNoise Threat Intelligence к Microsoft Sentinel, выполнив следующие действия: **
Ниже описано, как создать приложение AAD Azure, получить ключ API GreyNoise и сохранить значения в Конфигурация приложений функции Azure.
1. Получите ключ API из визуализатора GreyNoise.
Создание ключа API из визуализатора GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента и идентификатор клиента. Кроме того, получите идентификатор рабочей области Log Analytics, связанный с экземпляром Microsoft Sentinel (он должен отображаться ниже).
Следуйте приведенным здесь инструкциям, чтобы создать приложение AAD Azure и сохранить идентификатор клиента и идентификатор клиента: /azure/sentinel/connect-threat-intelligence-upload-api#instructions ПРИМЕЧАНИЕ. Подождите до шага 5, чтобы создать секрет клиента.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Следуйте приведенным здесь инструкциям, чтобы добавить роль участника Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-application
4. Укажите разрешения AAD, чтобы разрешить MS API Graph доступ к API upload-indicators.
Следуйте этому разделу, чтобы добавить разрешение ThreatIndicators.ReadWrite.OwnedBy в приложение AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Вернувшись в приложение AAD, убедитесь, что вы предоставили согласие администратора для только что добавленных разрешений. Наконец, в разделе "Токены и API" создайте секрет клиента и сохраните его. Он понадобится на шаге 6.
5. Развертывание решения аналитики угроз (новое) (версии 3.0.14 или более поздней версии), которое включает API для отправки индикаторов аналитики угроз (предварительная версия)
См. Microsoft Sentinel Content Hub для этого решения и установите его в экземпляре Microsoft Sentinel. Обратите внимание, что на этом шаге не требуется выполнять какую-либо настройку.
6. Развертывание функции Azure
Нажмите кнопку Развернуть в Azure.
Введите соответствующие значения для каждого параметра. Имейте в виду, что единственными допустимыми значениями для параметра GREYNOISE_CLASSIFICATIONS являются доброкачественные, вредоносные и (или) неизвестные, которые должны быть разделены запятыми.
7. Отправка индикаторов в Sentinel
Приложение-функция, установленное на шаге 6, запрашивает API GNQL GreyNoise один раз в день и отправляет каждый индикатор в формате STIX 2.1 в API индикаторов аналитики угроз (Майкрософт). Срок действия каждого индикатора истекает в течение 24 часов с момента создания, если он не найден в запросе на следующий день. В этом случае значение допустимого до времени индикатора TI продлевается еще на 24 часа, что сохраняет его активность в Microsoft Sentinel.
Дополнительные сведения об API GreyNoise и языке запросов GreyNoise (GNQL) см. здесь.
Соединитель Halcyon
Поддерживается:Halcyon
Соединитель Halcyon предоставляет возможность отправки данных из Halcyon в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
HalcyonEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra Создание разрешений. Разрешения на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Разрешения на назначение ролей: разрешения на запись, необходимые для назначения роли издателя метрик мониторинга правилу сбора данных (DCR). Обычно требуется роль владельца или администратора доступа пользователей на уровне группы ресурсов.
Инструкции по настройке:
1. Создание ресурсов ARM и подготовка необходимых разрешений
Этот соединитель считывает данные из таблиц, которые Halcyon использует в рабочей области Microsoft Analytics, если данные пересылаются.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Настройка интеграции на платформе Halcyon
Используйте следующие параметры, чтобы настроить интеграцию с платформой Halcyon.
- Идентификатор каталога (идентификатор клиента):< переменное значение, указанное во время установки.>
- Entra идентификатор приложения для регистрации приложения (идентификатор клиента):< переменное значение, указанное во время установки.>
- Entra секрет регистрации приложения (секрет учетных данных) (ЭТОТ СЕКРЕТ НЕ БУДЕТ ВИДЕН ПОСЛЕ ВЫХОДА ИЗ ЭТОЙ СТРАНИЦЫ): <значение переменной, указанное во время установки>
- Конечная точка сбора данных (URL-адрес):< переменное значение, указанное во время установки>
- Идентификатор правила сбора данных (идентификатор правила): <значение переменной, указанное во время установки.>
Данные активов безопасности Holm (с помощью Функции Azure)
Поддерживается:Holm Security
Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
net_assets_CL |
Нет | Нет |
web_assets_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Токен API безопасности Holm: требуется API безопасности токен Holm. Токен API безопасности Holm
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к Holm Security Assets для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Этапы настройки для API безопасности Holm
Следуйте этим инструкциям, чтобы создать маркер проверки подлинности API.
ШАГ 2. Используйте приведенный ниже параметр развертывания для развертывания соединителя и связанной функции Azure.
ВАЖНО: Перед развертыванием соединителя Holm Security необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации Holm API безопасности, доступный.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Развертывание шаблона Azure Resource Manager (ARM)
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Holm Security.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, "и/или другие обязательные поля".
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Журналы IIS серверов Microsoft Exchange
Поддерживается:Community
[Вариант 5] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех журналов IIS с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
W3CIISLog |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется использовать, для сбора данных с виртуальных машин, не Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
Этот соединитель данных является вариантом 5 вики-сайта.
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг является обязательным только при первом подключении серверов Exchange Server или контроллеров домена Развертывание агента Azure Arc Подробнее
[Вариант 5] Журналы IIS серверов Exchange Server
Выбор способа потоковой передачи журналов IIS серверов Exchange Server
Включение правила сбора данных
Журналы IIS собираются только из агентов Windows .
Вариант 1. Шаблон Azure Resource Manager (ARM) (предпочтительный метод)
Используйте этот метод для автоматического развертывания DCE и DCR.
О. Создание DCE (если еще не создано для серверов Exchange Server)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Вы можете изменить предлагаемое имя DCE.
Нажмите кнопку Создать , чтобы развернуть.
Б. Развертывание правила подключения к данным
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCE (если еще не создано для серверов Exchange Server)
- На портале Azure перейдите к конечной точке сбора данных Azure.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя DCE.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Создание DCR, введите журнал IIS
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля, выберите Windows в качестве типа платформы и присвойте имя DCR. Выберите созданный DCE.
- На вкладке Ресурсы введите серверы Exchange Server.
- В разделе "Сбор и доставка" добавьте тип источника данных "Журналы IIS" (не вводите путь, если путь к журналам IIS настроен по умолчанию). Щелкните "Добавить источник данных"
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Аналитика Illumio
Поддерживается:Illumio
Соединитель данных Illumio Insights позволяет принимать журналы из API Illumio в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API Illumio для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IlumioInsights |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Действия по настройке API Illumio Insights
Предварительные условия
- Регистрация и вход в консоль Illumio с действительными учетными данными
- Учетные данные клиента должны храниться в Microsoft Sentinel учетной записи клиента.
Шаг 1. Регистрация учетной записи службы
- Перейдите в раздел → доступ к учетным записям → служб → → →
- Создание учетной записи службы для клиента
- После создания учетной записи службы вы получите учетные данные клиента.
- Скопируйте имя пользователя (ключ API) и секрет. Шаг 2. Добавление учетных данных клиента в учетную запись Sentinel
- Добавление ключа API и секрета в учетную запись Sentinel для проверки подлинности клиента
- Эти учетные данные будут использоваться для проверки подлинности вызовов API SaaS Для Illumio
Шаг 3. Использование API Соединитель будет использовать следующие учетные данные для вызова API SaaS Illumio:
-
Конечная точка:
GET https://gw.console.illum.io/api/v1/resource-insights -
Обязательные заголовки:
-
x-illumio-tenant-id: идентификатор клиента Illumio -
x-auth-key: ключ API, полученный на шаге 1. -
x-auth-X-api-secret: секретный ключ, полученный на шаге 1.
-
Проверка подлинности Illumio проверяет запрос на:
- Подпись для открытых ключей идентификатора Entra
- Аудитория (aud) соответствует URI идентификатора приложения API
- Проверка издателя
Заполните следующие обязательные поля учетными данными, полученными из консоли Illumio:
- Ключ API Illumio Insights: (api_XXXXXX)
- Секрет API: (секрет API)
- Идентификатор клиента Illumio: ({illumioTenantId})
- Включение и отключение подключения
Сводка по анализу иллумио
Поддерживается:Illumio
Соединитель сводных данных Illumio Insights предоставляет возможность приема аналитических сведений о безопасности Illumio и отчетов об анализе угроз в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API Illumio . Соединитель позволяет получать ежедневные и еженедельные сводные отчеты из Illumio и визуализировать их в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IllumioInsightsSummary_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к API Illumio. Доступ к API Illumio требуется для api сводки Illumio Insights.
Инструкции по настройке:
1. Конфигурация
Настройте соединитель сводки Illumio Insights.
[! ПРИМЕЧАНИЕ] Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, которая развертывается в составе решения.
- Ключ API Illumio Insights: (api_XXXXXX)
- Секрет API: (секрет API)
- Идентификатор клиента Illumio: ({illumioTenantId})
2. Подключение
Включите соединитель сводки Illumio Insights.
- Включение и отключение подключения
Illumio SaaS (с помощью Функции Azure)
Поддерживается:Illumio
Соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель обеспечивает возможность приема проверяемых и потоковых событий из контейнера AWS S3.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Illumio_Auditable_Events_CL |
Да | Да |
Illumio_Flow_Events_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения для учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL. Если вы используете контейнер s3, предоставленный Illumio, обратитесь в службу поддержки Illumio. По вашему запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним.
- Ключ и секрет API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET требуется для подключения книги к SAAS PCE и получения ответов API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к AWS SQS/S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Необходимые компоненты
- Убедитесь, что AWS SQS настроен для контейнера s3, из которого будут извлекаться журналы событий потока и проверяемых событий. Если Illumio предоставляет контейнер, обратитесь в службу поддержки Illumio по URL-адресу sqs, имени контейнера s3 и учетных данных aws.
- Регистрация приложения AAD. Для DCR (правило сбора данных) для получения данных в log Analytics необходимо использовать Entra приложение. 1. Следуйте инструкциям здесь (шаги 1–5), чтобы получить идентификатор клиента AAD, идентификатор клиента AAD и секрет клиента AAD.
- Убедитесь, что вы создали рабочую область Log Analytics. Запишите имя и регион, в котором она была развернута.
Развертывание
Выберите один из подходов из приведенных ниже вариантов. Используйте приведенный ниже шаблон ARM, чтобы развернуть ресурсы Azure или развернуть приложение-функцию вручную.
1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания Azure ресурсов с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Укажите необходимые сведения, такие как рабочая область Microsoft Sentinel, учетные данные AWS, Azure AD сведения о приложении и конфигурации приема.
ПРИМЕЧАНИЕ: Рекомендуется создать новую группу ресурсов для развертывания приложения-функции и связанных ресурсов. 3. Установите флажок Я принимаю указанные выше условия. 4. Щелкните Приобрести для развертывания.
2. Развертывание дополнительных приложений-функций для обработки масштабирования
Используйте этот метод для автоматического развертывания дополнительных приложений-функций с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
3. Развертывание Функции Azure вручную
Развертывание через Visual Studio Code.
Развертывание приложения-функции
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Настройка приложения-функции
Перейдите к документации <, вставьте ссылку> , чтобы настроить все необходимые переменные среды, и нажмите кнопку Сохранить. Обязательно перезапустите приложение-функцию после сохранения параметров.
Imperva Cloud WAF (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Imperva Cloud WAF позволяет интегрировать и принимать события Брандмауэр веб-приложений в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по интеграции журналов. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ImpervaWAFCloud_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: Для API требуются ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI . Дополнительные сведения см. в разделе Процесс интеграции журналов установки. Проверьте все требования и следуйте инструкциям по получению учетных данных. Обратите внимание, что этот соединитель использует формат событий журнала CEF. Дополнительные сведения о формате журнала.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Imperva Cloud для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.
**ПРИМЕЧАНИЕ.**Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом ImpervaWAFCloud, которая развертывается с решением Microsoft Sentinel.
Шаг 1. Действия по настройке для интеграции журналов
Следуйте инструкциям, чтобы получить учетные данные.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанный Функции Azure
ВАЖНО: Перед развертыванием соединителя данных рабочей области у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Imperva Cloud WAF с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Imperva Cloud WAF с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки Azure функций.
Скачайте файл приложения Функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, ImpervaCloudXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceIDKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Imperva Cloud WAF (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Imperva WAF Cloud предоставляет возможность приема журналов в Microsoft Sentinel с помощью интеграции журналов Imperva через AWS S3 с уведомлениями SQS. Соединитель анализирует события WAF в формате CEF, включая журналы доступа и оповещения системы безопасности для обнаружения и исследования угроз. Дополнительные сведения см. в статье Интеграция облачных журналов Imperva WAF .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ImpervaWAFCloud |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
**Подключение Imperva WAF Cloud к Microsoft Sentinel
**
ПРИМЕЧАНИЕ: Этот соединитель извлекает журналы Imperva Cloud WAF из контейнера AWS S3.
Чтобы собрать данные из Imperva, необходимо настроить следующие ресурсы.
Aws Role ARN Для сбора данных из Imperva вам потребуется AWS Role ARN.
URL-адрес очереди AWS SQS Для сбора данных из Imperva потребуется URL-адрес очереди AWS SQS.
Подробные инструкции по получению ARN роли AWS, URL-адресу очереди SQS и настройке пересылки журналов Imperva в контейнер Amazon S3 см. в руководстве по настройке соединителя.
- Сетка соединителей данных (настройка на портале)
Infoblox Cloud Data Connector через AMA
Поддерживается:Infoblox
Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
ВАЖНО: Этот соединитель данных Microsoft Sentinel предполагает, что узел Соединителя данных Infoblox уже создан и настроен на портале Облачные службы Infoblox (CSP). Так как Соединитель данных Infoblox является функцией Защиты от угроз, требуется доступ к соответствующей подписке Threat Defense. Дополнительные сведения и требования к лицензированию см. в этом кратком руководстве .
1. Linux конфигурации агента syslog
Установите и настройте агент Linux для сбора сообщений системного журнала CEF и их пересылки в Microsoft Sentinel.
Обратите внимание, что данные из всех регионов будут храниться в выбранной рабочей области.
1.1. Выбор или создание Linux компьютера
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel этот компьютер может находиться в локальной среде, Azure или других облаках.
1.2. Установка сборщика CEF на Linux компьютере
Установите microsoft Monitoring Agent на Linux компьютере и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF через порт TCP 514.
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version.
На компьютере должны быть повышенные разрешения (sudo).
- Выполните следующую команду, чтобы установить и применить значение переменной CEF сборщика:: <, указанное во время установки.>
2. Настройка Infoblox для отправки данных системного журнала в Infoblox Cloud Data Connector для пересылки агенту syslog
Выполните приведенные ниже действия, чтобы настроить Infoblox CDC для отправки данных в Microsoft Sentinel через агент syslog Linux.
- Перейдите в раздел Управление > соединителем данных.
- Щелкните вкладку Конфигурация назначения в верхней части окна.
- Щелкните Создать > системный журнал.
- Имя. Присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для параметра состояние Включено.
- Формат: задайте для формата значение CEF.
- Полное доменное имя/IP: введите IP-адрес Linux устройства, на котором установлен агент Linux.
- Порт: оставьте номер порта 514.
- Протокол. Выберите требуемый протокол и сертификат ЦС, если применимо.
- Нажмите кнопку Сохранить & Закрыть.
- Щелкните вкладку Конфигурация потока трафика в верхней части окна.
- Щелкните Создать.
- Имя. Присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для параметра состояние Включено.
- Разверните раздел Экземпляр службы .
- Экземпляр службы. Выберите нужный экземпляр службы, для которого включена служба соединителя данных.
- Разверните раздел Конфигурация источника .
- Источник. Выберите BloxOne Cloud Source.
- Выберите все необходимые типы журналов , которые требуется собрать. В настоящее время поддерживаются следующие типы журналов:
- Журнал запросов и ответов защиты от угроз
- Журнал попаданий каналов защиты от угроз
- Журнал запросов и ответов DDI
- Журнал аренды DHCP DDI
- Разверните раздел Конфигурация назначения .
- Выберите только что созданное назначение .
- Нажмите кнопку Сохранить & Закрыть.
- Разрешите настройке некоторое время для активации.
3. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
На компьютере должны быть повышенные разрешения (sudo)
- Выполните следующую команду, чтобы проверить подключение:: <значение переменной, указанное во время установки>
**4. Защита компьютера **
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
Соединитель данных Infoblox через REST API
Поддерживается:Infoblox
Соединитель данных Infoblox позволяет легко подключать данные Infoblox TIDE и данные досье к Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Failed_Range_To_Ingest_CL |
Нет | Нет |
Infoblox_Failed_Indicators_CL |
Нет | Нет |
dossier_whois_CL |
Нет | Нет |
dossier_whitelist_CL |
Нет | Нет |
dossier_tld_risk_CL |
Нет | Нет |
dossier_threat_actor_CL |
Нет | Нет |
dossier_rpz_feeds_records_CL |
Нет | Нет |
dossier_rpz_feeds_CL |
Нет | Нет |
dossier_nameserver_matches_CL |
Нет | Нет |
dossier_nameserver_CL |
Нет | Нет |
dossier_malware_analysis_v3_CL |
Нет | Нет |
dossier_inforank_CL |
Нет | Нет |
dossier_infoblox_web_cat_CL |
Нет | Нет |
dossier_geo_CL |
Нет | Нет |
dossier_dns_CL |
Нет | Нет |
dossier_atp_threat_CL |
Нет | Нет |
dossier_atp_CL |
Нет | Нет |
dossier_ptr_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуется ключ API Infoblox . Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Infoblox для создания индикаторов угроз для TIDE и извлечения данных Dossier в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения сборника схем TriggersSync.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 2. Добавление секрета клиента для приложения в Microsoft Entra ID
Иногда называется паролем приложения, секрет клиента — это строковое значение, необходимое для выполнения сборника схем TriggersSync. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения сборника схем TriggersSync.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 3. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
Шаг 4. Действия по созданию учетных данных API Infoblox
Следуйте этим инструкциям, чтобы создать ключ API Infoblox. На портале Infoblox Облачные службы создайте ключ API и скопируйте его в безопасное место для использования на следующем шаге. Инструкции по созданию ключей API см. здесь.
ШАГ 5. Шаги по развертыванию соединителя и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя данных Infoblox получите доступные идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего). А также учетные данные авторизации API Infoblox.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Infoblox Data.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующую информацию: Azure идентификатор клиента Azure идентификатор клиента Azure секрет клиента Infoblox Api Token Infoblox Базовый URL-адрес Идентификатор рабочей области Ключ рабочая область (по умолчанию: INFO) Уровень достоверности Уровень угрозы App Insights Workspace Id Ресурса
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Infoblox SOC Insight Data Connector через AMA
Поддерживается:Infoblox
Соединитель infoblox SOC Insight Data Connector позволяет легко подключить данные INFOblox BloxOne SOC Insight к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных будет принимать журналы CDC Infoblox SOC Insight в рабочую область Log Analytics с помощью нового агента мониторинга Azure. Дополнительные сведения о приеме с помощью нового агента мониторинга Azure см. здесь. Корпорация Майкрософт рекомендует использовать этот соединитель данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Для сбора данных с виртуальных машин, отличных от Azure, на них должна быть установлена и включена Azure Arc. Подробнее
- Необходимо установить общий формат событий (CEF) через AMA и syslog через соединители данных AMA. Подробнее
Инструкции по настройке:
Ключи рабочей области
Чтобы использовать сборники схем в рамках этого решения, найдите идентификатор рабочей области и первичный ключ рабочей области ниже для удобства.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Ключ рабочей области: <значение переменной, указанное во время установки>
Парсеров
Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, вызываемая InfobloxCDC_SOCInsights, которая развертывается вместе с решением Microsoft Sentinel.
SOC Insights
Этот соединитель данных предполагает, что у вас есть доступ к SOC Insights Infoblox BloxOne Threat Defense. Дополнительные сведения о SOC Insights можно найти здесь.
Infoblox Cloud Data Connector
Этот соединитель данных предполагает, что узел Соединителя данных Infoblox уже создан и настроен на портале Infoblox Облачные службы (CSP). Так как Соединитель данных Infoblox является функцией BloxOne Threat Defense, требуется доступ к соответствующей подписке BloxOne Threat Defense. Дополнительные сведения и требования к лицензированию см. в этом кратком руководстве .
Чтобы настроить этот соединитель данных, выполните следующие действия.
О. Настройка общего формата событий (CEF) через соединитель данных AMA
Примечание. Журналы CEF собираются только из агентов Linux
Перейдите в колонку соединителей данных рабочей области > Microsoft Sentinel.
Найдите общий формат событий (CEF) через соединитель данных AMA и откройте его.
Убедитесь в отсутствии существующего DCR, настроенного для сбора необходимых средств журналов, так как это может привести к дублированию журналов. Создайте DCR (правило сбора данных).
Примечание. Рекомендуется как минимум установить агент AMA версии 1.27. Дополнительные сведения и убедитесь, что нет повторяющихся DCR, так как это может привести к дублированию журнала.
Выполните команду, указанную на странице общего формата событий (CEF) через соединитель данных AMA, чтобы настроить сборщик CEF на компьютере.
Б. На портале Infoblox Облачные службы настройте Infoblox BloxOne для отправки данных системного журнала CEF в Соединитель облачных данных Infoblox для пересылки агенту syslog.
Выполните следующие действия, чтобы настроить Infoblox CDC для отправки данных BloxOne в Microsoft Sentinel через агент syslog Linux.
- Перейдите в раздел Управление > соединителем данных.
- Щелкните вкладку Конфигурация назначения в верхней части окна.
- Щелкните Создать > системный журнал.
- Имя. Присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для параметра состояние Включено.
- Формат: задайте для формата значение CEF.
- Полное доменное имя/IP: введите IP-адрес Linux устройства, на котором установлен агент Linux.
- Порт: оставьте номер порта 514.
- Протокол. Выберите требуемый протокол и сертификат ЦС, если применимо.
- Нажмите кнопку Сохранить & Закрыть.
- Щелкните вкладку Конфигурация потока трафика в верхней части окна.
- Щелкните Создать.
- Имя. Присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для параметра состояние Включено.
- Разверните раздел Экземпляр службы .
- Экземпляр службы. Выберите нужный экземпляр службы, для которого включена служба соединителя данных.
- Разверните раздел Конфигурация источника .
- Источник. Выберите BloxOne Cloud Source.
- Выберите тип журнала внутренних уведомлений .
- Разверните раздел Конфигурация назначения .
- Выберите только что созданное назначение .
- Нажмите кнопку Сохранить & Закрыть.
- Разрешите настройке некоторое время для активации.
C. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
На компьютере должны быть повышенные разрешения (sudo)
- Выполните следующую команду, чтобы проверить подключение:: <значение переменной, указанное во время установки>
**2. Защита компьютера **
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
Infoblox SOC Insight Data Connector через REST API
Поддерживается:Infoblox
Соединитель infoblox SOC Insight Data Connector позволяет легко подключить данные INFOblox BloxOne SOC Insight к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
InfobloxInsight_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Ключи рабочей области
Чтобы использовать сборники схем в рамках этого решения, найдите идентификатор рабочей области и первичный ключ рабочей области ниже для удобства.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Ключ рабочей области: <значение переменной, указанное во время установки>
Парсеров
Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом с именем InfobloxInsight, которая развертывается вместе с решением Microsoft Sentinel.
SOC Insights
Этот соединитель данных предполагает, что у вас есть доступ к SOC Insights Infoblox BloxOne Threat Defense. Дополнительные сведения о SOC Insights можно найти здесь.
Чтобы настроить этот соединитель данных, выполните следующие действия.
1. Создайте ключ API Infoblox и скопируйте его в безопасное место
На портале Infoblox Облачные службы создайте ключ API и скопируйте его в безопасное место для использования на следующем шаге. Инструкции по созданию ключей API см. здесь.
2. Настройка сборника схем Infoblox-SOC-Get-Open-Insights-API
Создайте и настройте сборник схем Infoblox-SOC-Get-Open-Insights-API , который развертывается с помощью этого решения. При появлении запроса введите ключ API Infoblox в соответствующий параметр.
Соединитель данных InfoSecGlobal
Поддерживается:InfoSecGlobal
Используйте этот соединитель данных для интеграции с InfoSec Crypto Analytics и получения данных, отправляемых непосредственно в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
InfoSecAnalytics_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Соединитель данных InfoSecGlobal Crypto Analytics
- Данные отправляются в Microsoft Sentinel через Logstash
- Требуемая конфигурация Logstash включена в установку Crypto Analytics
- В документации по установке Crypto Analytics объясняется, как включить отправку данных в Microsoft Sentinel
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Журналы безопасности IONIX (через платформу соединителя без кода)
Поддерживается:IONIX
Соединитель IONIX позволяет принимать элементы действий из платформы управления атаками IONIX в Microsoft Sentinel с помощью платформы соединителя без кода (CCF). Элементы действий представляют результаты безопасности и уязвимости, требующие исправления.
Этот соединитель автоматически опрашивает API IONIX и записывает данные в таблицу CyberpionActionItems_CL.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberpionActionItems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Токен API IONIX. Требуется маркер API с портала IONIX. Создайте его в API параметров > на портале IONIX.
Инструкции по настройке:
Подключение IONIX к Microsoft Sentinel
Этот соединитель использует API IONIX для автоматического опроса элементов действий и приема их в Microsoft Sentinel. Вам нужен маркер API на портале IONIX.
- Токен API IONIX: (Введите маркер API JWT из API IONIX Settings > API)
- Имя учетной записи IONIX: (cyberpion)
- Включение и отключение подключения
Соединитель данных iPinfo Abuse
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_abuse наборы данных и вставить его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Abuse_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных ASN IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для загрузки standard_ASN наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_ASN_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных оператора IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания standard_carrier наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Carrier_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных компании IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_company наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Company_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных IPinfo Core
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных Core и вставить его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_CORE_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных ASN для стран IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания country_asn наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Country_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных домена IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_domain наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Domain_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных Iplocation IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_location наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Location_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
IPinfo Iplocation Extended Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_location_extended наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Location_extended_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных IPinfo Plus
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных Plus и вставить их в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_PLUS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных конфиденциальности IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_privacy наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Privacy_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель расширенных данных для конфиденциальности IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_privacy наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных ResProxy IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания наборов данных ResProxy и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных IPinfo RIRWHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных RIRWHOIS и вставить их в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных RWHOIS IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания наборов данных RWHOIS и вставки их в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RWHOIS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
IPinfo WHOIS ASN Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_ASN наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
IPinfo WHOIS MNT Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания WHOIS_MNT наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
IPinfo WHOIS NET Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для загрузки WHOIS_NET наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
IPinfo WHOIS ORG Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_ORG наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных POC IPinfo WHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для загрузки WHOIS_POC наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API IPinfo. Получите маркер API IPinfo здесь.
Инструкции по настройке:
1. Получение маркера API
Получите маркер API IPinfo здесь.
2. В клиенте Azure AD создайте приложение Azure Active Directory (AAD)
В клиенте Azure AD создайте приложение Azure Active Directory (AAD) и получите идентификатор клиента, идентификатор клиента и секрет клиента: используйте эту ссылку.
3. Назначьте приложению AAD роль участника Microsoft Sentinel.
Назначьте только что созданное приложение AAD участнику (роли привилегированного администратора) и издателю метрик мониторинга (роли функции задания) в той же группе ресурсов, которую вы используете для рабочей области Log Analytic, в которую добавляется Microsoft Sentinel: используйте эту ссылку.
4. Получение идентификатора ресурса рабочей области
Используйте колонку Рабочая область Log Analytic —> свойства со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
5. Развертывание функции Azure
Используйте его для автоматического развертывания соединителя данных IPinfo с помощью временной реплицы ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET.
Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных IPinfo с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки Azure приложение-функцию.
- Создайте приложение-функцию с помощью плана службы "Размещение функций премиум" или плана службы приложений с помощью расширенного параметра с помощью VSCode.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Параметры —> Конфигурация или Переменные среды.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Остров Корпоративный браузер версии 2
Поддерживается:Island
Соединитель данных Island Enterprise Browser версии 2 позволяет принимать события пользователей, события администрирования и системные события в рамках одного соединителя.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_UserEvents_V2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Ключ API острова. Требуется ключ API острова. Создайте ключ API с помощью консоли управления Island. Дополнительные инструкции см. в официальной документации по острову.
Инструкции по настройке:
Подключение острова к Microsoft Sentinel
URL-адрес API и ключ API доступны через консоль управления Island. Дополнительные инструкции см. в официальной документации по острову.
- URL-адрес API: (URL-адрес API)
- Ключ API: (Ключ)
- Включение и отключение подключения
Соединитель push-уведомлений Jamf Protect
Поддерживается:Jamf Software, LLC
Соединитель Jamf Protect предоставляет возможность чтения необработанных данных о событиях из Jamf Protect в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
jamfprotecttelemetryv2_CL |
Да | Да |
jamfprotectunifiedlogs_CL |
Да | Да |
jamfprotectalerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель считывает данные из таблиц, которые Jamf Protect использует в рабочей области Microsoft Analytics. Если параметр пересылки данных включен в Jamf Protect, необработанные данные событий отправляются в API приема Microsoft Sentinel.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Отправка журналов в рабочую область
Используйте следующие параметры, чтобы настроить компьютер для отправки журналов в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя Stream унифицированных журналов: <значение переменной, указанное во время установки>
- Имя Stream телеметрии: <значение переменной, указанное во время установки>
- Оповещений Stream Имя: <значение переменной, указанное во время установки>
JoeSandboxThreatIntelligence (с использованием Функции Azure)
Поддерживается:Стефан Бюльманн
Соединитель JoeSandboxThreatIntelligence автоматически создает и передает аналитику угроз для всех отправлений в JoeSandbox, улучшая обнаружение угроз и реагирование на инциденты в Sentinel. Такая простая интеграция позволяет командам упреждающе устранять возникающие угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуется ключ API JoeSandbox .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API JoeSandbox для извлечения операций ввода-вывода JoeSandbox Threat в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM) для плана потребления Flex
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите Идентификатор приложения, Идентификатор клиента, Секрет клиента, Ключ API JoeSandbox, Дата начальной выборки JoeSandbox, ВремяИнтервал и развертывание.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Шаблон Azure Resource Manager (ARM) для плана "Премиум"
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите Идентификатор приложения, Идентификатор клиента, Секрет клиента, Ключ API JoeSandbox, Дата начальной выборки JoeSandbox, ВремяИнтервал и развертывание.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Соединитель push-уведомлений системы безопасности Keeper
Поддерживается:Keeper Security
Соединитель Keeper Security предоставляет возможность чтения необработанных данных о событиях из Keeper Security в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель считывает данные из таблиц, которые Keeper Security использует в рабочей области Microsoft Analytics. Если параметр пересылки данных включен в Keeper Security, то необработанные данные событий отправляются в API приема Microsoft Sentinel.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Отправка журналов в рабочую область
Используйте следующие параметры, чтобы настроить компьютер для отправки журналов в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя журнала событий Stream: <значение переменной, указанное во время установки>
3. Консоль Администратор Update Keeper
Настройте консоль Keeper Администратор с Azure сведениями о подключении, чтобы включить пересылку данных в Microsoft Sentinel.
Настройка журналов мониторинга Azure в консоли Keeper Администратор
В консоли Keeper Администратор войдите как администратор Keeper. Затем перейдите в раздел Отчеты & Оповещения и выберите Azure Мониторинг журналов.
Укажите следующие сведения из шага 2 выше в консоли Администратор:
- Azure идентификатор клиента. Его можно найти в области "Подписки" Azure.
- Идентификатор приложения (клиента): находится на экране обзора регистрации приложений (KeeperLogging)
- Значение секрета клиента. Это значение секрета клиента из секретов регистрации приложения.
-
URL-адрес конечной точки. Это URL-адрес, созданный в следующем формате:
https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01
Чтобы собрать URL-адрес конечной точки, выполните следующие действия:
- <URL-адрес> коллекции. Это происходит из шага 2 выше
-
<
>DCR_ID из правила сборщика данных скопируйте значение "Неизменяемый идентификатор", например.
dcr-xxxxxxx - Это имя таблицы, созданной Azure, например.
Custom-KeeperSecurityEventNewLogsПример:
https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01LastPass Enterprise — отчеты (опрос CCF)
Поддерживается:Коллективный консалтинг
Соединитель LastPass Enterprise предоставляет возможность создавать журналы отчетов (аудита) LastPass в Microsoft Sentinel. Соединитель обеспечивает видимость имен входа и действий в LastPass (например, чтение и удаление паролей).
Таблицы Log Analytics:
Таблица Поддержка DCR Прием только озера LastPassNativePoller_CLДа Да Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API LastPass и CID: требуется ключ API LastPass и идентификатор CID. Дополнительные сведения см. в разделе API LastPass.
Инструкции по настройке:
Подключение LastPass Enterprise к Microsoft Sentinel
Укажите ключ API подготовки LastPass.
Lookout Mobile Threat Detection Connector (с помощью платформы соединителей без кода) (предварительная версия)
Поддерживается:Lookout
Соединитель данных lookout Mobile Threat Detection предоставляет возможность приема событий, связанных с угрозами безопасности мобильных устройств, в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API . Этот соединитель помогает изучить потенциальные угрозы безопасности, обнаруженные на мобильных устройствах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LookoutMtdV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение соединителя Lookout Mobile Threat Defense к Microsoft Sentinel
Перед подключением к Lookout убедитесь, что выполнены следующие предварительные требования.
- ApiKey требуется для API обнаружения мобильных угроз. Дополнительные сведения об API см. в документации . Проверьте все требования и следуйте инструкциям по получению учетных данных.
- Ключ API: (введите ключ API )
- Включение и отключение подключения
Luminar IOCs и утечка учетных данных (с использованием Функции Azure)
Поддерживается:Cognyte Luminar
Соединитель Luminar IOCs и Leaked Credentials позволяет интегрировать данные IOC на основе аналитики и связанные с клиентом утечки записей, идентифицированные Luminar.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуются идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Cognyte Luminar для извлечения Luminar IOCs и утечки учетных данных в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор приложения, идентификатор клиента, секрет клиента, идентификатор клиента Luminar API, идентификатор учетной записи Luminar API, секрет клиента Luminar API, ограничение, времяинтерваль и развертывание.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Cognyte Luminar с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ. Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, CognyteLuminarXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): Идентификатор клиента идентификатор клиента Luminar API Идентификатор клиента Luminar API Идентификатор учетной записи Luminar API Client Secret Limit TimeInterval — используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.usПосле ввода всех параметров приложения нажмите кнопку Сохранить.
MailGuard 365
Поддерживается:MailGuard 365
Улучшенная Email безопасность MailGuard 365 для Microsoft 365. Только для Microsoft Marketplace, MailGuard 365 интегрирован с безопасностью Microsoft 365 (включая Defender) для расширенной защиты от сложных угроз электронной почты, таких как фишинг, программы-шантажисты и сложные атаки BEC.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MailGuard365_Threats_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Настройка и подключение MailGuard 365
- В консоли MailGuard 365 щелкните Параметры на панели навигации.
- Перейдите на вкладку Интеграции .
- Щелкните включить Microsoft Sentinel.
- Введите идентификатор рабочей области и первичный ключ в полях ниже, нажмите кнопку Готово.
- Дополнительные инструкции можно получить в службе поддержки MailGuard 365.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
MailRisk от Secure Practice
Поддерживается:Secure Practice
Соединитель MailRisk от Secure Practice позволяет принимать данные аналитики угроз электронной почты из API MailRisk в Microsoft Sentinel. Этот соединитель обеспечивает видимость сообщений электронной почты, оценки рисков и событий безопасности, связанных с угрозами электронной почты.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MailRiskEventEmails_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные API. Также требуется пара ключей API Secure Practice, которые создаются в параметрах на портале администрирования. Создайте новую пару ключей с описанием
Microsoft Sentinel.
Инструкции по настройке:
1. Получение учетных данных API безопасной практики
Войдите в учетную запись Secure Practice и создайте ключ API и секрет API, если вы еще этого не сделали.
2. Подключение к API MailRisk
Введите учетные данные API безопасной практики ниже. Учетные данные будут безопасно храниться и использоваться для проверки подлинности запросов API.
- Ключ API: (введите ключ API для безопасной практики)
- Секрет API: (введите секрет API для безопасной практики)
- Включение и отключение подключения
Журналы событий meshStack
Поддерживается:meshcloud GmbH
Соединитель журналов событий meshStack позволяет принимать события платформы meshStack в Microsoft Sentinel. Подключив журналы событий meshStack к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания настраиваемых оповещений и улучшить процесс исследования для управления облачной платформой, аудита и мониторинга соответствия требованиям.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
meshStackEventLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Ключ API meshStack OAuth2. Требуется допустимый ключ API meshStack с разрешением "Администратор: перечисление журналов событий в любой рабочей области". Создайте ключ API на панели Администратор meshStack в разделе ключи API контроль доступа>. Ключ API предоставляет учетные данные OAuth2 (идентификатор ключа в качестве client_id и секрет ключа client_secret) для проверки подлинности. Примечание. Ключ API привязан к рабочей области, но может получать доступ к событиям из всех рабочих областей.
- экземпляр meshStack: доступ к экземпляру meshStack с включенным API событий.
Инструкции по настройке:
Подключение журналов событий meshStack к Microsoft Sentinel
Введите URL-адрес API экземпляра meshStack и учетные данные OAuth2 из ключа API. Url-адрес API должен иметь следующий формат: https://your-meshstack-instance.io. Создайте ключ API в meshStack (Администратор панель > контроль доступа > ключи API) с разрешением "Администратор: перечисление журналов событий в любой рабочей области". Ключ API предоставляет идентификатор ключа (client_id) и секрет ключа (client_secret) для проверки подлинности OAuth2.
- URL-адрес API meshStack: (https://your-meshstack-instance.io)
- Идентификатор клиента (идентификатор ключа): (введите идентификатор ключа из ключа API)
- Секрет клиента (секрет ключа): (введите секрет ключа из ключа API)
- Включение и отключение подключения
Microsoft 365 (ранее Office 365)
Поддерживается корпорациейМайкрософт
Соединитель журнала действий Microsoft 365 (ранее Office 365) предоставляет сведения о текущих действиях пользователей. Вы получите сведения об операциях, таких как скачивание файлов, отправленные запросы на доступ, изменения в событиях группы, set-mailbox и сведения о пользователе, выполнившем действия. Подключив журналы Microsoft 365 к Microsoft Sentinel вы можете использовать эти данные для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения процесса исследования. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OfficeActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Управление внутренними рисками Microsoft 365
Поддерживается корпорациейМайкрософт
Microsoft 365 Insider Risk Management — это решение для обеспечения соответствия требованиям в Microsoft 365, которое помогает минимизировать внутренние риски, позволяя обнаруживать вредоносные и непреднамеренные действия в организации, а также принимать меры в отношении них. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации.
Политики внутренних рисков позволяют:
- определите типы рисков, которые необходимо определить и обнаружить в организации.
- решить, какие действия следует предпринять в ответ, включая эскалацию обращений в Microsoft Advanced eDiscovery при необходимости.
Это решение создает оповещения, которые клиенты Office могут видеть в решении для управления внутренними рисками в Центре соответствия требованиям Microsoft 365. Дополнительные сведения об управлении внутренними рисками.
Эти оповещения можно импортировать в Microsoft Sentinel с помощью этого соединителя, что позволяет просматривать, исследовать и реагировать на них в более широком контексте организационных угроз. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы событий безопасности контроллеров домена Microsoft Active-Directory
Поддерживается:Community
[Вариант 3 & 4] — с помощью агента мониторинга Azure вы можете выполнять потоковую передачу части или всех журналов событий безопасности контроллеров домена с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется использовать, для сбора данных с виртуальных машин, не Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
Этот соединитель данных является вариантом 3 и 4 вики-сайта.
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг является обязательным только при первом подключении серверов Exchange Server или контроллеров домена Развертывание агента Azure Arc Подробнее
Журналы безопасности контроллеров домена
Выберите способ потоковой передачи журналов безопасности контроллеров домена. Если вы хотите реализовать вариант 3, необходимо просто выбрать контроллер домена на том же сайте, что и серверы Exchange Server. Если вы хотите реализовать вариант 4, можно выбрать все контроллеры домена леса.
[Вариант 3] Вывод списка только контроллеров домена на том же сайте, что и серверы Exchange Server для следующего шага
Это ограничивает количество передаваемых данных, но некоторые инциденты не могут быть обнаружены.
[Вариант 4] Перечисление всех контроллеров домена леса Active-Directory для следующего шага
Это позволяет собирать все события безопасности
Сбор журналов событий безопасности
Правила сбора данных — журналы событий безопасности
Включить правило сбора данных для журналов безопасности Журналы безопасности Журналы событий безопасности собираются только из агентов Windows .
- Добавьте выбранные контроллеры домена на вкладку Ресурсы .
- Выбор уровня журнала безопасности
Общий уровень — это минимальный обязательный уровень. Выберите "Общие" или "Все события безопасности" в определении DCR.
- Агент установки: <значение переменной, указанное во время установки>
Microsoft Copilot
Поддерживается:Майкрософт
Соединитель журналов Microsoft Copilot в Microsoft Sentinel позволяет легко принимать журналы действий, созданные Copilot, из M365 Copilot и Security Copilot в Microsoft Sentinel для расширенного обнаружения угроз, исследования и реагирования на нее. Он собирает данные телеметрии из Microsoft Copilot служб, таких как данные об использовании и ответы системы, а также данные приема в Microsoft Sentinel, что позволяет группам безопасности отслеживать неправильное использование, обнаруживать аномалии и поддерживать соответствие политикам организации.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CopilotActivity |
Нет | Да |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
Инструкции по настройке:
Подключение журналов аудита Microsoft Copilot к Microsoft Sentinel
Этот соединитель использует API управления Office для получения журналов аудита Microsoft Copilot. Журналы будут храниться и обрабатываться в существующей рабочей области Microsoft Sentinel. Данные можно найти в таблице CopilotActivity .
- Включение и отключение подключения
Microsoft Dataverse
Поддерживается корпорациейМайкрософт
Microsoft Dataverse — это масштабируемая и безопасная платформа данных, которая позволяет организациям хранить данные, используемые бизнес-приложениями, и управлять ими. Соединитель данных Microsoft Dataverse позволяет принимать Dataverse и Dynamics 365 журналы действий CRM из Аудит Microsoft Purview входа в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DataverseActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
- Аудит Micorosft Purview: необходимо активировать Аудит Microsoft Purview (Standard или Premium).
- Рабочая dataverse. Ведение журнала действий доступно только для рабочих сред. Другие типы, например песочница, не поддерживают ведение журнала действий.
- Параметры аудита dataverse. Параметры аудита должны быть настроены как глобально, так и на уровне сущности или таблицы. Дополнительные сведения см. в разделе Параметры аудита Dataverse.
Инструкции по настройке:
Подключение журналов аудита Microsoft Dataverse к Microsoft Sentinel
Этот соединитель использует API управления Office для получения журналов аудита Dataverse. Журналы будут храниться и обрабатываться в существующей рабочей области Microsoft Sentinel. Данные можно найти в таблице DataverseActivity .
- Включение и отключение подключения
Microsoft Defender for Cloud Apps
Поддерживается корпорациейМайкрософт
Подключив Microsoft Defender for Cloud Apps вы получите представление о своих облачных приложениях, получите сложную аналитику для выявления киберугроз и борьбы с ними, а также проконтролируете перемещение данных.
- Определите теневые ит-облачные приложения в сети.
- Управление и ограничение доступа на основе условий и контекста сеанса.
- Используйте встроенные или настраиваемые политики для общего доступа к данным и защиты от потери данных.
- Выявляйте использование с высоким риском и получайте оповещения о необычных действиях пользователей с помощью поведенческой аналитики Майкрософт и возможностей обнаружения аномалий, включая действия программ-шантажистов, невозможные поездки, подозрительные правила переадресации электронной почты и массовое скачивание файлов.
- Массовое скачивание файлов
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Нет | Нет |
McasShadowItReporting |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Microsoft Defender для конечной точки
Поддерживается корпорациейМайкрософт
Microsoft Defender для конечной точки — это платформа безопасности, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Платформа создает оповещения при обнаружении подозрительных событий безопасности в организации. Получение оповещений, созданных в Microsoft Defender для конечной точки, для Microsoft Sentinel, чтобы можно было эффективно анализировать события безопасности. Вы можете создавать правила, создавать панели мониторинга и создавать сборники схем для немедленного реагирования. Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender для удостоверений
Поддерживается корпорациейМайкрософт
Подключите Microsoft Defender для удостоверений, чтобы получить представление о событиях и аналитике пользователей. Microsoft Defender для удостоверений выявляет, обнаруживает и помогает исследовать расширенные угрозы, скомпрометированные удостоверения и вредоносные внутренние действия, направленные на вашу организацию. Microsoft Defender для удостоверений позволяет аналитикам SecOp и специалистам по безопасности обнаруживать сложные атаки в гибридных средах, чтобы:
- Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
- Защита удостоверений и учетных данных пользователей, хранящихся в Active Directory.
- Выявление и расследование подозрительных действий пользователей и сложных атак по всей цепочке их этапов.
- Предоставление четкой информации об инциденте на простой временной шкале для его оперативного рассмотрения.
Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender для Интернета вещей
Поддерживается корпорациейМайкрософт
Получите аналитические сведения о безопасности Интернета вещей, подключив Microsoft Defender для оповещений Интернета вещей к Microsoft Sentinel. Вы можете получить встроенные метрики и данные оповещений, включая тенденции оповещений, основные оповещения и разбивку оповещений по серьезности. Вы также можете получить сведения о рекомендациях, предоставленных для Центров Интернета вещей, включая основные рекомендации и рекомендации по серьезности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender для Office 365 (предварительная версия)
Поддерживается корпорациейМайкрософт
Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Принимая Microsoft Defender для Office 365 оповещений в Microsoft Sentinel, вы можете включить сведения об угрозах на основе электронной почты и URL-адресов в более широкий анализ рисков и создать соответствующие сценарии реагирования.
Будут импортированы следующие типы оповещений:
- Обнаружен потенциально вредоносный url-адрес щелчка
- Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
- Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки
- Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг
- Обнаружены подозрительные шаблоны отправки электронной почты
- Пользователю запрещено отправлять сообщения электронной почты
Эти оповещения можно увидеть клиентам Office в ** Центре безопасности и соответствия требованиям Office**.
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Аналитика угроз Microsoft Defender
Поддерживается корпорациейМайкрософт
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации из Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и т. д.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender XDR
Поддерживается корпорациейМайкрософт
Microsoft Defender XDR — это единый, изначально интегрированный набор корпоративной защиты до и после нарушения безопасности, который защищает конечную точку, удостоверения, электронную почту и приложения, а также помогает обнаруживать, предотвращать, исследовать и автоматически реагировать на сложные угрозы.
Microsoft Defender XDR люкс включает:
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Управление уязвимостями & угроз
- Microsoft Defender for Cloud Apps
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityIncident |
Да | Да |
SecurityAlert |
Да | Да |
DeviceEvents |
Да | Да |
EmailEvents |
Да | Да |
IdentityLogonEvents |
Да | Да |
CloudAppEvents |
Да | Да |
AlertEvidence |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Entra ID
Поддерживается корпорациейМайкрософт
Получите аналитические сведения о Microsoft Entra ID, подключив журналы аудита и входа к Microsoft Sentinel для сбора аналитических сведений о сценариях Microsoft Entra ID. Сведения об использовании приложений, политиках условного доступа и устаревшей проверке подлинности можно узнать с помощью наших журналов входа. Сведения об использовании самостоятельного сброса пароля (SSPR), Microsoft Entra ID действиях управления, таких как управление пользователями, группами, ролями и приложениями, можно получить с помощью таблицы журналов аудита. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SigninLogs |
Да | Да |
AuditLogs |
Да | Да |
AADNonInteractiveUserSignInLogs |
Да | Да |
AADServicePrincipalSignInLogs |
Да | Да |
AADManagedIdentitySignInLogs |
Да | Да |
AADProvisioningLogs |
Да | Да |
ADFSSignInLogs |
Да | Да |
AADUserRiskEvents |
Да | Да |
AADRiskyUsers |
Да | Да |
NetworkAccessTraffic |
Да | Да |
AADRiskyServicePrincipals |
Да | Да |
AADServicePrincipalRiskEvents |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Ресурсы Microsoft Entra ID
Поддерживается корпорациейМайкрософт
соединитель данных ресурсов идентификаторов Entra предоставляет более подробную информацию о данных о действиях, дополняя сведения сведениями об активах. Данные из этого соединителя используются для создания графов риска данных в Purview. Если вы включили эти графы, деактивация этого соединителя предотвратит сборку графов. Сведения о графе риска данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Защита Microsoft Entra ID
Поддерживается корпорациейМайкрософт
защита Microsoft Entra ID предоставляет консолидированное представление о пользователях, подверженных риску, событиях риска и уязвимостях, с возможностью немедленного устранения рисков и настройки политик для автоматического исправления будущих событий. Служба основана на опыте Корпорации Майкрософт по защите удостоверений потребителей и обеспечивает огромную точность сигнала от более чем 13 миллиардов входов в день. Интеграция оповещений Microsoft Защита Microsoft Entra ID с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения анализа. Дополнительные сведения см. в документации по Microsoft Sentinel .
Получение Microsoft Entra ID premium P1/P2
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы аудита Microsoft Exchange Администратор по журналам событий
Поддерживается:Community
[Вариант 1] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех событий аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Он используется в книгах безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется использовать, для сбора данных с виртуальных машин, не Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
Этот соединитель данных является вариантом 1 вики-сайта.
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг является обязательным только при первом подключении серверов Exchange Server или контроллеров домена Развертывание агента Azure Arc Подробнее
2. [Вариант 1] Сбор журналов управления MS Exchange — MS Exchange Администратор журналы событий аудита с помощью правил сбора данных
Журналы событий аудита MS Exchange Администратор собираются с помощью правил сбора данных (DCR) и позволяют хранить все административные командлеты, выполняемые в среде Exchange.
DCR
Развертывание правил сбора данных
Включение правила сбора данных Microsoft Exchange Администратор журналы событий аудита собираются только из агентов Windows.
Вариант 1. Шаблон Azure Resource Manager (ARM) (предпочт.)
Используйте этот метод для автоматического развертывания DCR.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCR, тип журнала событий
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля, выберите Windows в качестве типа платформы и присвойте имя DCR.
- На вкладке Ресурсы введите серверы Exchange Server.
- В разделе "Сбор и доставка" добавьте тип источника данных "Журналы событий Windows" и выберите параметр "Пользовательский", введите "Управление MSExchange" в качестве выражения и добавьте его.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, для работы должным образом. Средства синтаксического анализа автоматически развертываются вместе с решением. Выполните действия, чтобы создать псевдоним Функций Kusto : ExchangeAdminAuditLogs
Средства синтаксического анализа автоматически развертываются во время развертывания решения. Если вы хотите выполнить развертывание вручную, выполните указанные ниже действия.
Развертывание средства синтаксического анализа вручную
1. Скачивание файла средства синтаксического анализа
Последняя версия файла ExchangeAdminAuditLogs
2. Создание функции Parser ExchangeAdminAuditLogs
Скопируйте содержимое файла в проводнике log analytics Microsoft Sentinel в проводник журналов.
3. Сохранение функции parser ExchangeAdminAuditLogs
Нажмите кнопку сохранить. Для этого средства синтаксического анализа параметр не требуется. Нажмите кнопку Сохранить еще раз.
Журналы прокси-сервера HTTP Microsoft Exchange
Поддерживается:Community
[Вариант 7] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу журналов прокси-сервера HTTP и журналов событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Подробнее
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ExchangeHttpProxy_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется: Azure Log Analytics будет нерекомендуемой, для сбора данных с виртуальных машин, отличных от Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
Этот соединитель данных является вариантом 7 вики-сайта.
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг является обязательным только при первом подключении серверов Exchange Server или контроллеров домена Развертывание агента Azure Arc Подробнее
2. [Вариант 7] Прокси-сервер HTTP для серверов Exchange
Выбор способа потоковой передачи прокси-сервера HTTP для серверов Exchange Server
Правила сбора данных — при использовании агента мониторинга Azure
Включить правило сбора данных Отслеживание сообщений собирается только из агентов Windows .
Вариант 1. Шаблон Azure Resource Manager (ARM) (предпочитаемый метод)
Используйте этот метод для автоматического развертывания DCE и DCR.
О. Создание DCE (если еще не создано для серверов Exchange Server)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Вы можете изменить предлагаемое имя DCE.
Нажмите кнопку Создать , чтобы развернуть.
Б. Развертывание правила подключения к данным
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
Создание пользовательской таблицы — объяснение
Пользовательскую таблицу нельзя создать с помощью портала Azure. Необходимо использовать шаблон ARM, скрипт PowerShell или другой метод, описанный здесь.
Создание пользовательской таблицы с помощью шаблона ARM
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов, расположение и имя рабочей области аналитики.
Нажмите кнопку Создать , чтобы развернуть.
Создание пользовательской таблицы с помощью PowerShell в Cloud Shell
- На портале Azure откройте Cloud Shell.
- Скопируйте и вставьте и выполните следующий скрипт в Cloud Shell, чтобы создать таблицу. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticationdUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } } } ' @
- Скопируйте, замените, вставьте и выполните следующие параметры со своими собственными значениями: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
- Выполните следующий командлет, чтобы создать таблицу: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
О. Создание DCE (если еще не создано для серверов Exchange Server)
- На портале Azure перейдите к конечной точке сбора данных Azure.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя DCE.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Создание DCR, ввод настраиваемого журнала
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку "Создать".
- На вкладке "Основные" введите имя правила, например DCR-Option7-HTTPProxyLogs, выберите "Конечная точка сбора данных" с ранее созданной конечной точкой и заполните другие параметры.
- На вкладке Ресурсы добавьте серверы Exchange Server.
- В поле Сбор и доставка добавьте тип источника данных "Настраиваемые текстовые журналы" и введите следующий шаблон файла: "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
- Введите "ExchangeHttpProxy_CL" в поле Имя таблицы.
- В поле Преобразование введите следующий запрос KQL: source | extend d = split(RawData,',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) , Protocol=tostr d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticationdUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) , ClientIpAddress=tostring(d[17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20)]) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) , TargetServer=tostring(d)[24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) , AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) , GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[41])42]) , ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) , TotalSharedCacheLatency=tostring(d)[45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) , BackendReqInitLatency=tostring(d[49]) , BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53]) , ClientRespStreamLatency=tostring(d[54]) , KerberosAuthHeaderLatency=tostring(d[55]) , HandlerCompletionLatency=tostring(d[[ 56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[[] 59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[] 68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | проект d,RawData,DateTime | проект d,RawData,DateTime и щелкните "Назначение".
- В разделе "Назначение" добавьте назначение и выберите рабочую область, в которой вы ранее создали настраиваемую таблицу.
- Щелкните "Добавить источник данных".
- Заполните другие необходимые параметры и теги и создайте DCR
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Журналы и события Microsoft Exchange
Поддерживается:Community
[Вариант 2] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех журналов событий exchange Security & приложений с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется: Azure Log Analytics будет нерекомендуемой, для сбора данных с виртуальных машин, отличных от Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
Этот соединитель данных является вариантом 2 вики-сайта.
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг является обязательным только при первом подключении серверов Exchange Server или контроллеров домена Развертывание агента Azure Arc Подробнее
2. [Вариант 2] Журналы безопасности, приложений или системных серверов Exchange Server
Журналы безопасности, приложений и системных серверов Exchange Server собираются с помощью правил сбора данных (DCR).
Сбор журналов событий безопасности
Правила сбора данных — журналы событий безопасности
Включить правило сбора данных для журналов безопасности Журналы безопасности Журналы событий безопасности собираются только из агентов Windows .
- Добавьте серверы Exchange Server на вкладке Ресурсы .
- Выбор уровня журнала безопасности
Общий уровень — это минимальный обязательный уровень. Выберите "Общие" или "Все события безопасности" в определении DCR.
- Агент установки: <значение переменной, указанное во время установки>
Сбор журналов приложений и системных событий
Включение правила сбора данных
Журналы событий приложений и системных событий собираются только из агентов Windows .
Вариант 1. Шаблон Azure Resource Manager (ARM) (предпочитаемый метод)
Используйте этот метод для автоматического развертывания DCR.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCR, тип журнала событий
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля, выберите Windows в качестве типа платформы и присвойте имя DCR.
- На вкладке Ресурсы введите серверы Exchange Server.
- В разделе "Сбор и доставка" добавьте тип источника данных "Журналы событий Windows" и выберите параметр "Базовый".
- Для параметра Приложение выберите "Критический", "Ошибка" и "Предупреждение". Для параметра Система выберите Критический/Ошибка/Предупреждение/Информация.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Журналы отслеживания сообщений Microsoft Exchange
Поддерживается:Community
[Вариант 6] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех сообщений Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 вики-сайта безопасности Microsoft Exchange.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MessageTrackingLog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется: Azure Log Analytics будет нерекомендуемой, для сбора данных с виртуальных машин, отличных от Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
Этот соединитель данных является вариантом 6 вики-сайта.
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг является обязательным только при первом подключении серверов Exchange Server или контроллеров домена Развертывание агента Azure Arc Подробнее
2. Отслеживание сообщений серверов Exchange Server
Выбор способа потоковой передачи отслеживания сообщений серверов Exchange Server
Правила сбора данных — при использовании агента мониторинга Azure
Включить правило сбора данных Отслеживание сообщений собирается только из агентов Windows .
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания DCE и DCR.
О. Создание DCE (если еще не создано для серверов Exchange Server)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Вы можете изменить предлагаемое имя DCE.
Нажмите кнопку Создать , чтобы развернуть.
Б. Развертывание правила подключения к данным и настраиваемой таблицы
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
Создание пользовательской таблицы — объяснение
Пользовательскую таблицу нельзя создать с помощью портала Azure. Необходимо использовать шаблон ARM, скрипт PowerShell или другой метод, описанный здесь.
Создание пользовательской таблицы с помощью шаблона ARM
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов, расположение и имя рабочей области аналитики.
Нажмите кнопку Создать , чтобы развернуть.
Создание пользовательской таблицы с помощью PowerShell в Cloud Shell
- На портале Azure откройте Cloud Shell.
- Скопируйте и вставьте и выполните следующий скрипт в Cloud Shell, чтобы создать таблицу. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } } } ' @
- Скопируйте, замените, вставьте и выполните следующие параметры со своими собственными значениями: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
- Выполните следующий командлет, чтобы создать таблицу: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
О. Создание DCE (если еще не создано для серверов Exchange Server)
- На портале Azure перейдите к конечной точке сбора данных Azure.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя DCE, например ESI-ExchangeServers.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Создание DCR, ввод настраиваемого журнала
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку "Создать".
- На вкладке "Основные" введите имя правила, например DCR-Option6-MessageTrackingLogs, выберите "Конечная точка сбора данных" с ранее созданной конечной точкой и заполните другие параметры.
- На вкладке Ресурсы добавьте серверы Exchange Server.
- В поле Сбор и доставка добавьте тип источника данных "Настраиваемые текстовые журналы" и введите "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" в шаблоне файла , "MessageTrackingLog_CL" в поле Имя таблицы. 6.in поле Преобразование введите следующий запрос KQL: source | extend d = split(RawData,',') | extend TimeGenerated =todatetime(d[0]) , clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[[] 3]) , senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source=tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[[) 17]) , messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) , messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) , messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring() d[24]) , originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | проект d,RawData и щелкните "Назначение".
- В разделе "Назначение" добавьте назначение и выберите рабочую область, в которой вы ранее создали настраиваемую таблицу.
- Щелкните "Добавить источник данных".
- Заполните другие необходимые параметры и теги и создайте DCR
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Microsoft Power Automate
Поддерживается корпорациейМайкрософт
Power Automate — это служба Майкрософт, которая помогает пользователям создавать автоматизированные рабочие процессы между приложениями и службами для синхронизации файлов, получения уведомлений, сбора данных и многого другого. Она упрощает автоматизацию задач, повышая эффективность за счет сокращения ручных, повторяющихся задач и повышения производительности. Соединитель данных Power Automate предоставляет возможность приема журналов действий Power Automate из Аудит Microsoft Purview входа в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerAutomateActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
- Аудит Micorosft Purview: необходимо активировать Аудит Microsoft Purview (Standard или Premium).
Инструкции по настройке:
Подключение журналов аудита Microsoft Power Automate к Microsoft Sentinel
Этот соединитель использует API управления Office для получения журналов аудита Power Automate. Журналы будут храниться и обрабатываться в существующей рабочей области Microsoft Sentinel. Данные можно найти в таблице PowerAutomateActivity .
- Включение и отключение подключения
Действия microsoft Power Platform Администратор
Поддерживается корпорациейМайкрософт
Microsoft Power Platform — это набор с низким или отсутствием кода, который позволяет разработчикам-клиентам и профессиональным разработчикам оптимизировать бизнес-процессы, позволяя создавать пользовательские приложения, автоматизацию рабочих процессов и анализ данных с минимальным написанием кода. Соединитель данных Power Platform Администратор предоставляет возможность приема журналов действий администратора Power Platform из Аудит Microsoft Purview входа в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerPlatformAdminActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
- Аудит Micorosft Purview: необходимо активировать Аудит Microsoft Purview (Standard или Premium).
Инструкции по настройке:
Подключение журналов аудита действий Microsoft Power Platform Администратор к Microsoft Sentinel
Этот соединитель использует API управления Office для получения журналов аудита администратора Power Platform. Журналы будут храниться и обрабатываться в существующей рабочей области Microsoft Sentinel. Данные можно найти в таблице PowerPlatformAdminActivity .
- Включение и отключение подключения
Microsoft PowerBI
Поддерживается корпорациейМайкрософт
Microsoft PowerBI — это набор программных служб, приложений и соединителей, которые работают вместе, чтобы превратить несвязанные источники данных в согласованные, визуально иммерсивные и интерактивные аналитические сведения. Ваши данные могут быть электронной таблицей Excel, коллекцией облачных и локальных гибридных хранилищ данных или хранилищем данных другого типа. Этот соединитель позволяет выполнять потоковую передачу журналов аудита PowerBI в Microsoft Sentinel, что позволяет отслеживать действия пользователей в среде PowerBI. Данные аудита можно фильтровать по диапазону дат, пользователю, панели мониторинга, отчету, набору данных и типу действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerBIActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Project
Поддерживается:Майкрософт
Microsoft Project (MSP) — это программное решение для управления проектами. В зависимости от плана Microsoft Project позволяет планировать проекты, назначать задачи, управлять ресурсами, создавать отчеты и т. д. Этот соединитель позволяет выполнять потоковую передачу журналов аудита проекта Azure в Microsoft Sentinel для отслеживания действий проекта.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProjectActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Purview
Поддерживается корпорациейМайкрософт
Подключитесь к Microsoft Purview, чтобы включить обогащение конфиденциальности данных Microsoft Sentinel. Журналы классификации данных и меток конфиденциальности из проверок Microsoft Purview можно принимать и визуализировать с помощью книг, аналитических правил и многого другого. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PurviewDataSensitivityLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение Microsoft Purview к Microsoft Sentinel
На портале Azure перейдите к ресурсу Purview:
- В строке поиска найдите учетные записи Purview.
- Выберите конкретную учетную запись, с помощью Sentinel.
Внутри ресурса Microsoft Purview: 3. Выберите Параметры диагностики. 4. Выберите + Добавить параметр диагностики. 5. В колонке Параметры диагностики выполните следующие действия.
- Выберите в поле Категория журнала значение DataSensitivityLogEvent.
- Выберите Отправить в Log Analytics.
- Выберите целевую рабочую область журнала. Это должна быть та же рабочая область, которая используется Microsoft Sentinel.
- Нажмите кнопку Сохранить.
Защита информации Microsoft Purview
Поддерживается корпорациейМайкрософт
Защита информации Microsoft Purview помогает обнаруживать, классифицировать, защищать и управлять конфиденциальной информацией, где бы она ни находились. С помощью этих возможностей вы можете узнать свои данные, определить элементы, которые являются конфиденциальными, и получить представление о том, как они используются для более эффективной защиты данных. Метки конфиденциальности — это базовая возможность, которая обеспечивает действия по защите, применение шифрования, ограничения доступа и визуальную маркировку. Интегрируйте журналы Защита информации Microsoft Purview с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения анализа. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MicrosoftPurviewInformationProtection |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Аудит Mimecast
Поддерживается:Mimecast
Соединитель данных для аудита Mimecast предоставляет клиентам видимость событий безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель: Аудит
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Audit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь ключи авторизации API Mimecast или Токен, которые доступны.
Шаг 3. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 4. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных TenableVM. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 5. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
Разверните соединитель данных аудита Mimecast:
Используйте этот метод для автоматического развертывания соединителя данных аудита Mimecast.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите следующие сведения:
А. Расположение — расположение, в котором должны быть развернуты правила сбора данных и конечные точки сбора данных.
Б. WorkspaceName — введите Microsoft Sentinel имя рабочей области Log Analytics.
c. AzureClientID — введите Azure идентификатор клиента, созданный во время регистрации приложения.
d. AzureClientSecret — введите Azure секрет клиента, созданный при создании секрета клиента.
e. AzureTenantID — введите идентификатор клиента Azure Azure Active Directory.
f. AzureEntraObjectID — введите идентификатор объекта приложения Microsoft Entra
ж. MimecastBaseURL — введите базовый URL-адрес API Mimecast 2.0 (например, https://api.services.mimecast.com).
з. MimecastClientID — введите идентификатор клиента Mimecast для проверки подлинности.
и. MimecastClientSecret — введите секрет клиента Mimecast для проверки подлинности.
к. MimecastAuditTableName — введите имя таблицы, используемой для хранения данных аудита. Значение по умолчанию — "Аудит".
л. StartDate — введите дату начала в формате гггг-мм-дд. Если дата не указана, данные за последние 60 дней будут получаться автоматически. Убедитесь, что дата находится в прошлом и правильно отформатирована.
L. Расписание— введите допустимое выражение cron-expression. (Пример: 0 0 */1 * * *) Не оставьте значение пустым, минимальное значение — 10 минут
М. LogLevel — добавьте уровень журнала или значение серьезности журнала. По умолчанию задано значение INFO.
N. AppInsightsWorkspaceResourceId — миграция классической Application Insights в рабочую область Log Analytic, которая прекращается до 29 февраля 2024 г. Используйте колонку "Рабочая область Log Analytic -> Свойства" со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Проверка подлинности & аудита Mimecast (с использованием Функции Azure)
Поддерживается:Mimecast
Соединитель данных для проверки подлинности & проверки подлинности Mimecast Audit предоставляет клиентам представление о событиях безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель: Аудит & проверки подлинности
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastAudit_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение "Функции". Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также ключи авторизации API Mimecast или токен.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Разверните соединитель данных проверки подлинности & проверки подлинности Mimecast Audit:
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие поля:
- appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения в Azure платформе.
- objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения ---> идентификатор объекта profile ----->
- appInsightsLocation(default): westeurope
- mimecastEmail: Email адрес выделенного пользователя для этого интеграона
- mimecastPassword: пароль для выделенного пользователя
- mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
- mimecastBaseURL: региональный URL-адрес API Mimecast
- activeDirectoryAppId: портал Azure ---> Регистрация приложений ---> [your_app] ---> идентификатор приложения
- activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты & секреты ---> [your_app_secret]
- workspaceId: портал Azure ---> Рабочей области Log Analytics ---> [ваша рабочая область] ---> агентов ---> идентификатор рабочей области (или вы можете скопировать workspaceId из выше).
- workspaceKey: портал Azure ---> Рабочей области Log Analytics ---> [Ваша рабочая область] агенты ---> ---> первичный ключ (или вы можете скопировать workspaceKey из выше).
- AppInsightsWorkspaceResourceID: портал Azure ---> Рабочие области Log Analytics ---> [ваша рабочая область] ---> свойства ---> идентификатор ресурса
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Перейдите портал Azure ---> Группы ресурсов ---> [your_resource_group] ---> [appName](type: Storage account) ---> Обозреватель службы хранилища ---> контейнеры BLOB-объектов ---> Контрольные точки аудита ---> Отправить и создать пустой файл на компьютере с именем checkpoint.txt и выберите его для отправки (это делается, чтобы date_range для журналов SIEM хранились в согласованном состоянии).
Обучение по повышению осведомленности Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Awareness Training предоставляет клиентам представление о событиях безопасности, связанных с технологиями целевой проверки защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель:
- Сведения о производительности
- Сведения о безопасной оценке
- Данные пользователя
- Сведения о списке отслеживания
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Awareness_Performance_Details_CL |
Да | Да |
Awareness_SafeScore_Details_CL |
Да | Да |
Awareness_User_Data_CL |
Да | Да |
Awareness_Watchlist_Details_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
Группа ресурсов
Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
Приложение "Функции"
Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
- идентификатор объекта Entra
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных Mimecast.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 2. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных Mimecast. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных Mimecast.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 3. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
ШАГ 4. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь ключи авторизации API Mimecast или Токен, которые доступны.
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Mimecast Awareness Training Data.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите следующие сведения:
А. Расположение — расположение, в котором должны быть развернуты правила сбора данных и конечные точки сбора данных.
Б. WorkspaceName — введите Microsoft Sentinel имя рабочей области Log Analytics.
c. AzureClientID — введите Azure идентификатор клиента, созданный во время регистрации приложения.
d. AzureClientSecret — введите Azure секрет клиента, созданный при создании секрета клиента.
e. AzureTenantID — введите идентификатор клиента Azure Azure Active Directory.
f. AzureEntraObjectID — введите идентификатор объекта приложения Microsoft Entra
ж. MimecastBaseURL — введите базовый URL-адрес API Mimecast 2.0 (например, https://api.services.mimecast.com).
з. MimecastClientID — введите идентификатор клиента Mimecast для проверки подлинности.
и. MimecastClientSecret — введите секрет клиента Mimecast для проверки подлинности.
к. MimecastAwarenessPerformanceDetailsTableName — введите имя таблицы, используемой для хранения данных Awareness Performance Details. Значение по умолчанию — "Awareness_Performance_Details".
л. MimecastAwarenessUserDataTableName — введите имя таблицы, используемой для хранения данных осведомленности пользователей. Значение по умолчанию — "Awareness_User_Data".
L. MimecastAwarenessWatchlistDetailsTableName — введите имя таблицы, используемой для хранения сведений о списке отслеживания осведомленности. Значение по умолчанию — "Awareness_Watchlist_Details".
М. MimecastAwarenessSafeScoreDetailsTableName — введите имя таблицы, используемой для хранения данных Awareness SafeScore Details. Значение по умолчанию — "Awareness_SafeScore_Details".
N. StartDate — введите дату начала в формате гггг-мм-дд. Если дата не указана, данные за последние 60 дней будут получаться автоматически. Убедитесь, что дата находится в прошлом и правильно отформатирована.
O. Расписание— введите допустимое выражение cron-expression. (Пример: 0 0 */1 * * *) Не оставьте значение пустым, минимальное значение — 10 минут
P. LogLevel — добавьте уровень журнала или значение серьезности журнала. По умолчанию задано значение INFO.
Q. AppInsightsWorkspaceResourceId — миграция классической Application Insights в рабочую область Log Analytic, которая прекращается до 29 февраля 2024 г. Используйте колонку "Рабочая область Log Analytic -> Свойства" со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Mimecast Cloud Integrated
Поддерживается:Mimecast
Соединитель данных для Mimecast Cloud Integrated предоставляет клиентам представление о событиях безопасности, связанных с технологиями проверки в облаке в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cloud_Integrated_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
Группа ресурсов
Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
Приложение "Функции"
Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь ключи авторизации API Mimecast или Токен, которые доступны.
Шаг 3. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 4. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных TenableVM. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 5. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Mimecast Cloud Integrated Data.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите следующие сведения:
А. Расположение — расположение, в котором должны быть развернуты правила сбора данных и конечные точки сбора данных.
Б. WorkspaceName — введите Microsoft Sentinel имя рабочей области Log Analytics.
c. AzureClientID — введите Azure идентификатор клиента, созданный во время регистрации приложения.
d. AzureClientSecret — введите Azure секрет клиента, созданный при создании секрета клиента.
e. AzureTenantID — введите идентификатор клиента Azure Azure Active Directory.
f. AzureEntraObjectID — введите идентификатор объекта приложения Microsoft Entra
ж. MimecastBaseURL — введите базовый URL-адрес API Mimecast 2.0 (например, https://api.services.mimecast.com).
з. MimecastClientID — введите идентификатор клиента Mimecast для проверки подлинности.
и. MimecastClientSecret — введите секрет клиента Mimecast для проверки подлинности.
к. MimecastCITableName — введите имя таблицы, используемой для хранения данных, интегрированных в облако. Значение по умолчанию — "Cloud_Integrated".
л. StartDate — введите дату начала в формате гггг-мм-дд. Если дата не указана, данные за последние 60 дней будут получаться автоматически. Убедитесь, что дата находится в прошлом и правильно отформатирована.
L. Расписание— введите допустимое выражение cron-expression. (Пример: 0 0 */1 * * *) Не оставьте значение пустым, минимальное значение — 10 минут
М. LogLevel — добавьте уровень журнала или значение серьезности журнала. По умолчанию задано значение INFO.
N. AppInsightsWorkspaceResourceId — миграция классической Application Insights в рабочую область Log Analytic, которая прекращается до 29 февраля 2024 г. Используйте колонку "Рабочая область Log Analytic -> Свойства" со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Mimecast Intelligence for Microsoft — Microsoft Sentinel (с помощью Функции Azure)
Поддерживается:Mimecast
Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, проверенную на основе технологий проверки электронной почты Mimecast, с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование.
Продукты и компоненты Mimecast:
- Шлюз mimecast Secure Email
- Mimecast Threat Intelligence
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение "Функции". Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также ключи авторизации API Mimecast или токен.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Включение Mimecast Intelligence для Microsoft — соединитель Microsoft Sentinel:
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие поля:
- appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения в Azure платформе.
- objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения ---> идентификатор объекта profile ----->
- appInsightsLocation(default): westeurope
- mimecastEmail: Email адрес выделенного пользователя для этого интеграона
- mimecastPassword: пароль для выделенного пользователя
- mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
- mimecastBaseURL: региональный URL-адрес API Mimecast
- activeDirectoryAppId: портал Azure ---> Регистрация приложений ---> [your_app] ---> идентификатор приложения
- activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты & секреты ---> [your_app_secret]
- workspaceId: портал Azure ---> Рабочей области Log Analytics ---> [ваша рабочая область] ---> агентов ---> идентификатор рабочей области (или вы можете скопировать workspaceId из выше).
- workspaceKey: портал Azure ---> Рабочей области Log Analytics ---> [Ваша рабочая область] агенты ---> ---> первичный ключ (или вы можете скопировать workspaceKey из выше).
- AppInsightsWorkspaceResourceID: портал Azure ---> Рабочие области Log Analytics ---> [ваша рабочая область] ---> свойства ---> идентификатор ресурса
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Перейдите портал Azure ---> Группы ресурсов ---> [your_resource_group] ---> [appName](type: storage account) ---> Обозреватель службы хранилища ---> КОНТЕЙНЕРЫ BLOB-объектов ---> контрольные точки TIR ---> Отправить и создать пустой файл на компьютере с именем checkpoint.txt и выберите его для отправки (это делается, чтобы date_range журналов TIR хранились в согласованном состоянии).
Дополнительная конфигурация:
Подключитесь к соединителю данных платформ аналитики угроз . Следуйте инструкциям на странице соединителя и нажмите кнопку подключиться.
Шлюз mimecast Secure Email
Поддерживается:Mimecast
Соединитель данных для шлюза Mimecast Secure Email позволяет легко собирать журналы из шлюза Secure Email для получения аналитических сведений о электронной почте и активности пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты и компоненты Mimecast:
- Облачный шлюз Mimecast
- Защита от утечки данных Mimecast
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Seg_Cg_CL |
Да | Да |
Seg_Dlp_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
**ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь ключи авторизации API Mimecast или Токен, которые доступны.
Шаг 3. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 4. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных TenableVM. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 5. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
Разверните соединитель данных шлюза Mimecast Secure Email:
Используйте этот метод для автоматического развертывания соединителя данных шлюза Mimecast Secure Email.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите следующие сведения:
А. Расположение — расположение, в котором должны быть развернуты правила сбора данных и конечные точки сбора данных.
Б. WorkspaceName — введите Microsoft Sentinel имя рабочей области Log Analytics.
c. AzureClientID — введите Azure идентификатор клиента, созданный во время регистрации приложения.
d. AzureClientSecret — введите Azure секрет клиента, созданный при создании секрета клиента.
e. AzureTenantID — введите идентификатор клиента Azure Azure Active Directory.
f. AzureEntraObjectID — введите идентификатор объекта приложения Microsoft Entra
ж. MimecastBaseURL — введите базовый URL-адрес API Mimecast 2.0 (например, https://api.services.mimecast.com).
з. MimecastClientID — введите идентификатор клиента Mimecast для проверки подлинности.
и. MimecastClientSecret — введите секрет клиента Mimecast для проверки подлинности.
к. MimecastCGTableName — введите имя таблицы, используемой для хранения данных CG. Значение по умолчанию — "Seg_Cg".
л. MimecastDLPTableName — введите имя таблицы, используемой для хранения данных защиты от потери данных. Значение по умолчанию — "Seg_Dlp".
L. StartDate — введите дату начала в формате гггг-мм-дд. Если дата не указана, данные за последние 60 дней будут получаться автоматически. Убедитесь, что дата находится в прошлом и правильно отформатирована.
М. Расписание— введите допустимое выражение cron-expression. (Пример: 0 0 */1 * * *) Не оставьте значение пустым, минимальное значение — 10 минут
N. LogLevel — добавьте уровень журнала или значение серьезности журнала. По умолчанию задано значение INFO.
O. AppInsightsWorkspaceResourceId — миграция классической Application Insights в рабочую область Log Analytic, которая прекращается до 29 февраля 2024 г. Используйте колонку "Рабочая область Log Analytic -> Свойства" со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Шлюз Mimecast Secure Email (с помощью Функции Azure)
Поддерживается:Mimecast
Соединитель данных для шлюза Mimecast Secure Email позволяет легко собирать журналы из шлюза Secure Email для получения аналитических сведений о электронной почте и активности пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты и компоненты Mimecast:
- Шлюз mimecast Secure Email
- Защита от утечки данных Mimecast
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastSIEM_CL |
Нет | Нет |
MimecastDLP_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение "Функции". Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также ключи авторизации API Mimecast или токен.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Разверните соединитель данных шлюза Mimecast Secure Email:
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие поля:
- appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения в Azure платформе.
- objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения ---> идентификатор объекта profile ----->
- appInsightsLocation(default): westeurope
- mimecastEmail: Email адрес выделенного пользователя для этого интеграона
- mimecastPassword: пароль для выделенного пользователя
- mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
- mimecastBaseURL: региональный URL-адрес API Mimecast
- activeDirectoryAppId: портал Azure ---> Регистрация приложений ---> [your_app] ---> идентификатор приложения
- activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты & секреты ---> [your_app_secret]
- workspaceId: портал Azure ---> Рабочей области Log Analytics ---> [ваша рабочая область] ---> агентов ---> идентификатор рабочей области (или вы можете скопировать workspaceId из выше).
- workspaceKey: портал Azure ---> Рабочей области Log Analytics ---> [Ваша рабочая область] агенты ---> ---> первичный ключ (или вы можете скопировать workspaceKey из выше).
- AppInsightsWorkspaceResourceID: портал Azure ---> Рабочие области Log Analytics ---> [ваша рабочая область] ---> свойства ---> идентификатор ресурса
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Перейдите портал Azure ---> Группы ресурсов ---> [your_resource_group] ---> [appName](type: Storage account) ---> Обозреватель службы хранилища ---> контейнеры BLOB-объектов ---> контрольных точек SIEM, ---> Отправить и создать на компьютере пустой файл с именем checkpoint.txt, dlp-checkpoint.txt и выберите его для отправки (это делается, чтобы date_range для журналов SIEM хранились в согласованном состоянии).
Защита от целевых угроз Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам представление о событиях безопасности, связанных с технологиями проверки Целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель:
- Защита URL-адресов
- Защита олицетворения
- Защита вложений
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ttp_Url_CL |
Да | Да |
Ttp_Attachment_CL |
Да | Да |
Ttp_Impersonation_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
Группа ресурсов
Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
Приложение "Функции"
Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных Mimecast.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 2. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных Mimecast. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных Mimecast.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 3. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
ШАГ 4. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь ключи авторизации API Mimecast или Токен, которые доступны.
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Mimecast Targeted Threat Protection Data.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
Введите следующие сведения:
А. Расположение — расположение, в котором должны быть развернуты правила сбора данных и конечные точки сбора данных.
Б. WorkspaceName — введите Microsoft Sentinel имя рабочей области Log Analytics.
c. AzureClientID — введите Azure идентификатор клиента, созданный во время регистрации приложения.
d. AzureClientSecret — введите Azure секрет клиента, созданный при создании секрета клиента.
e. AzureTenantID — введите идентификатор клиента Azure Azure Active Directory.
f. AzureEntraObjectID — введите идентификатор объекта приложения Microsoft Entra
ж. MimecastBaseURL — введите базовый URL-адрес API Mimecast 2.0 (например, https://api.services.mimecast.com).
з. MimecastClientID — введите идентификатор клиента Mimecast для проверки подлинности.
и. MimecastClientSecret — введите секрет клиента Mimecast для проверки подлинности.
к. StartDate — введите дату начала в формате гггг-мм-дд. Если дата не указана, данные за последние 60 дней будут получаться автоматически. Убедитесь, что дата находится в прошлом и правильно отформатирована.
л. MimecastTTPAttachmentTableName — введите имя таблицы, используемой для хранения данных TTP-вложений. Значение по умолчанию — "Ttp_Attachment".
L. MimecastTTPImpersonationTableName — введите имя таблицы, используемой для хранения данных олицетворения TTP. Значение по умолчанию — "Ttp_Impersonation".
М. MimecastTTPUrlTableName — введите имя таблицы, используемой для хранения данных TTP-вложений. Значение по умолчанию — "Ttp_Url".
N. Расписание— введите допустимое выражение cron-expression. (Пример: 0 0 */1 * * *) Не оставьте значение пустым, минимальное значение — 10 минут
L. LogLevel — добавьте уровень журнала или значение серьезности журнала. По умолчанию задано значение INFO.
O. AppInsightsWorkspaceResourceId — миграция классической Application Insights в рабочую область Log Analytic, которая прекращается до 29 февраля 2024 г. Используйте колонку "Рабочая область Log Analytic -> Свойства" со значением свойства "Идентификатор ресурса". Это полный идентификатор ресурса в формате "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Защита от целевых угроз Mimecast (с помощью Функции Azure)
Поддерживается:Mimecast
Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам представление о событиях безопасности, связанных с технологиями проверки Целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель:
- Защита URL-адресов
- Защита олицетворения
- Защита вложений
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastTTPUrl_CL |
Нет | Нет |
MimecastTTPAttachment_CL |
Нет | Нет |
MimecastTTPImpersonation_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
Инструкции по настройке:
Группа ресурсов
Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
Приложение "Функции"
Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Mimecast для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Конфигурации:
Шаг 1. Действия по настройке API Mimecast
Перейдите портал Azure --- > Регистрация приложений ---> [your_app] ---> Сертификаты & секреты ---> Новый секрет клиента и создайте новый секрет (сохраните значение в безопасном месте, так как вы не сможете просмотреть его позже).
ШАГ 2. Развертывание соединителя API Mimecast
ВАЖНО: Перед развертыванием соединителя API Mimecast необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также ключи авторизации API Mimecast или токен.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Разверните соединитель данных Mimecast Targeted Threat Protection.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие поля:
- appName: уникальная строка, которая будет использоваться в качестве идентификатора приложения в Azure платформе.
- objectId: портал Azure ---> Azure Active Directory ---> дополнительные сведения ---> идентификатор объекта profile ----->
- appInsightsLocation(default): westeurope
- mimecastEmail: Email адрес выделенного пользователя для этого интеграона
- mimecastPassword: пароль для выделенного пользователя
- mimecastAppId: идентификатор приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения из приложения Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя Mimecast
- mimecastBaseURL: региональный URL-адрес API Mimecast
- activeDirectoryAppId: портал Azure ---> Регистрация приложений ---> [your_app] ---> идентификатор приложения
- activeDirectoryAppSecret: портал Azure ---> Регистрация приложений ---> [your_app] ---> сертификаты & секреты ---> [your_app_secret]
- workspaceId: портал Azure ---> Рабочей области Log Analytics ---> [ваша рабочая область] ---> агентов ---> идентификатор рабочей области (или вы можете скопировать workspaceId из выше).
- workspaceKey: портал Azure ---> Рабочей области Log Analytics ---> [Ваша рабочая область] агенты ---> ---> первичный ключ (или вы можете скопировать workspaceKey из выше).
- AppInsightsWorkspaceResourceID: портал Azure ---> Рабочие области Log Analytics ---> [ваша рабочая область] ---> свойства ---> идентификатор ресурса
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Перейдите портал Azure --- > Группы ресурсов ---> [your_resource_group] ---> [appName](тип: учетная запись хранения) ---> Обозреватель службы хранилища ---> контейнеры BLOB-объектов ---> контрольных точек TTP ---> Отправка и создание пустых файлов на компьютере с именем attachment-checkpoint.txt, impersonation-checkpoint.txt url-checkpoint.txt и выбор их для отправки (это делается, чтобы date_range для журналов TTP хранились в согласованном состоянии).
MISP2Sentinel
Поддерживается:Community
Это решение устанавливает соединитель MISP2Sentinel, который позволяет автоматически отправлять индикаторы угроз из MISP в Microsoft Sentinel с помощью REST API отправки индикаторов. После установки решения настройте и включите этот соединитель данных, следуя указаниям в разделе Управление представлением решения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Инструкции по установке и настройке
Используйте документацию из этого репозитория GitHub, чтобы установить и настроить соединитель MISP для Microsoft Sentinel:
https://github.com/cudeso/misp2sentinel
Журналы MongoDB Atlas
Поддерживается:MongoDB
Соединитель журналов MongoDBAtlas позволяет передавать журналы базы данных MongoDB Atlas в Microsoft Sentinel через API администрирования Atlas MongoDB. Дополнительные сведения см. в документации по API . Соединитель предоставляет возможность получать диапазон сообщений журнала базы данных для указанных узлов и указанного проекта.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MDBALogTable_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для учетной записи службы MongoDB Atlas требуются идентификатор клиента и секрет клиента . Дополнительные сведения см. в статье Создание учетной записи службы.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к MongoDB Atlas для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Перед развертыванием соединителя убедитесь, что рабочая область добавлена в Microsoft Sentinel.
ШАГ 1. Шаги по настройке API администрирования Atlas в MongoDB
- Следуйте этим инструкциям , чтобы создать учетную запись службы MongoDB Atlas.
- Скопируйте созданный идентификатор клиента и секрет клиента, а также идентификатор группы (проект) и каждый идентификатор кластера (имя узла), необходимые для последующих действий.
- Дополнительные сведения см. в документации по API Atlas для MongoDB .
- Секрет клиента можно передать в соединитель через хранилище ключей Azure или непосредственно в соединитель.
- Если вы хотите использовать параметр хранилища ключей, создайте хранилище ключей с помощью политики доступа к хранилищу с секретом с именем mongodb-client-secret и секретом клиента, сохраненным в качестве значения секрета.
ШАГ 2. Развертывание соединителя MongoDB Atlas Logs и связанной функции Azure
Нажмите кнопку Развернуть в Azure ниже.
ШАГ 3. Установка параметров соединителя
- Выберите предпочтительную подписку и существующую группу ресурсов.
- Введите существующий идентификатор ресурса рабочей области Log Analytics , принадлежащий группе ресурсов.
- Нажмите Далее
- Введите идентификатор группы MongoDB, список из 10 идентификаторов кластера MongoDB, каждый из которых содержится в отдельной строке, и идентификатор клиента MongoDB.
- Выберите для параметра Метод проверки подлинности секрет клиента и скопируйте значение секрета клиента или Key Vault и скопируйте имя хранилища ключей. Нажмите Далее
- Просмотрите фильтры MongoDB. Выберите журналы по крайней мере из одной категории. Нажмите Далее
- Просмотрите расписание. Нажмите Далее
- Просмотрите параметры и нажмите кнопку Создать.
MuleSoft CloudHub (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных MuleSoft Cloudhub предоставляет возможность извлекать журналы из приложений Cloudhub с помощью API Cloudhub и других событий в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MuleSoft_Cloudhub_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для выполнения вызовов API требуются MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Хранилище BLOB-объектов Azure для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, как и ожидалось, MuleSoftCloudHub, которая развертывается вместе с решением Microsoft Sentinel.
Примечание. Этот соединитель данных получает только журналы приложения CloudHub с помощью API платформы, но не приложения CloudHub 2.0.
Шаг 1. Шаги по настройке ДЛЯ API CloudHub MuleSoft
Следуйте инструкциям, чтобы получить учетные данные.
- Получите muleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword с помощью документации.
- Сохраните учетные данные для использования в соединителе данных.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных MuleSoft CloudHub у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных MuleSoft CloudHub с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных MuleSoft CloudHub с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, MuleSoftXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceIdKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Защита NC
Поддерживается:archTIS
NC Protect Data Connector (archtis.com) предоставляет возможность приема журналов и событий действий пользователей в Microsoft Sentinel. Соединитель обеспечивает видимость журналов и событий действий пользователей NC в Microsoft Sentinel для улучшения возможностей мониторинга и исследования
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NCProtectUAL_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Защита NC. У вас должен быть работающий экземпляр NC Protect для O365. Свяжитесь с нами.
Инструкции по настройке:
- Установка NC Protect в клиенте Azure
- Войдите на сайт NC Protect Administration
- В меню навигации слева выберите Общие —> мониторинг активности пользователей.
- Установите флажок Включить SIEM и нажмите кнопку Настроить.
- Выберите Microsoft Sentinel в качестве приложения и завершите настройку, используя приведенные ниже сведения.
- Нажмите кнопку Сохранить, чтобы активировать подключение.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Оповещения и события Netskope
Поддерживается:Netskope
Оповещения и события системы безопасности Netskope
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- URL-адрес организации Netskope. Соединитель данных Netskope требует указать URL-адрес организации. Url-адрес организации можно найти, войдя на портал Netskope.
- Ключ API Netskope. Соединитель данных Netskope требует предоставления допустимого ключа API. Его можно создать, следуя документации Netskope.
Инструкции по настройке:
ШАГ 1. Создание ключа API Netskope.
Инструкции по этому шагу см. в документации по Netskope .
ШАГ 2. Введите сведения о продукте Netskope
Введите URL-адрес организации Netskope & токен API ниже:
- Url-адрес организации: (введите URL-адрес организации)
- Ключ API(введите ключ API) НЕОБЯЗАТЕЛЬНО: укажите индекс, который использует API.
Настройка индекса необязательна и требуется только в расширенных сценариях. Netskope использует индекс для получения событий. В некоторых сложных случаях (при использовании события в нескольких рабочих областях Microsoft Sentinel или предварительной фатиге индекса для получения только последних данных) клиенту может потребоваться прямой контроль над индексом.
- Индекс: (NetskopeCCF)
ШАГ 3. Щелкните Подключиться
Убедитесь, что все указанные выше поля заполнены правильно. Нажмите кнопку Подключить, чтобы подключить Netskope к Microsoft Sentinel.
- Включение и отключение подключения
Соединитель данных Netskope
Поддерживается:Netskope
Соединитель данных Netskope предоставляет следующие возможности:
- NetskopeToAzureStorage :
- Получение данных об оповещениях и событиях Netskope из Netskope и прием в хранилище Azure. 2. StorageToSentinel :
- Получение данных об оповещениях и событиях Netskope из хранилища Azure и прием в настраиваемую таблицу журналов в рабочей области Log Analytics. 3. WebTxMetrics :
- Получение данных WebTxMetrics из Netskope и прием в настраиваемую таблицу журналов в рабочей области Log Analytics.
Дополнительные сведения об ИНТЕРФЕЙСАх REST API см. в следующей документации:
- Документация по API Netskope:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure документации по хранилищу: /azure/storage/common/storage-introduction 3. Документация по аналитике журналов Майкрософт: /azure/azure-monitor/logs/log-analytics-overview
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
alertscompromisedcredentialdata_CL |
Нет | Нет |
alertsctepdata_CL |
Нет | Нет |
alertsdlpdata_CL |
Нет | Нет |
alertsmalsitedata_CL |
Нет | Нет |
alertsmalwaredata_CL |
Нет | Нет |
alertspolicydata_CL |
Нет | Нет |
alertsquarantinedata_CL |
Нет | Нет |
alertsremediationdata_CL |
Нет | Нет |
alertssecurityassessmentdata_CL |
Нет | Нет |
alertsubadata_CL |
Нет | Нет |
eventsapplicationdata_CL |
Нет | Нет |
eventsauditdata_CL |
Нет | Нет |
eventsconnectiondata_CL |
Нет | Нет |
eventsincidentdata_CL |
Нет | Нет |
eventsnetworkdata_CL |
Нет | Нет |
eventspagedata_CL |
Нет | Нет |
Netskope_WebTx_metrics_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope . Дополнительные сведения об API см. в документации по REST API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Netskope для извлечения данных оповещений и событий в настраиваемую таблицу журнала. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения сборника схем TriggersSync.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 2. Добавление секрета клиента для приложения в Microsoft Entra ID
Иногда называется паролем приложения, секрет клиента — это строковое значение, необходимое для выполнения сборника схем TriggersSync. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения сборника схем TriggersSync.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 3. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
ШАГ 4. Действия по созданию и получении учетных данных для учетной записи Netskope
Выполните действия, описанные в этом разделе, чтобы создать или получить Netskope Hostname и Netskope API Token:
- Войдите в клиент Netskope и перейдите в меню Параметры на панели навигации слева.
- Щелкните Сервис, а затем — REST API версии 2.
- Теперь нажмите кнопку создать маркер. Затем он запросит имя маркера, срок действия и конечные точки, из которых вы хотите получить данные.
- После этого нажмите кнопку сохранить, маркер будет создан. Скопируйте маркер и сохраните его в безопасном месте для дальнейшего использования.
ШАГ 5. Шаги по созданию функций Azure для сбора данных оповещений и событий Netskope
ВАЖНО: Перед развертыванием соединителя данных Netskope необходимо иметь доступные идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела), а также ключи авторизации API Netskope.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
С помощью шаблона ARM разверните приложения-функции для приема событий Netskope и данных оповещений в Sentinel.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующую информацию: Netskope HostName Netskope API Token Выберите Да в раскрывающемся списке Типы оповещений и событий для этой конечной точки, которую вы хотите получить ключ рабочей области уровня оповещений и событий.
Щелкните Рецензирование и создание.
Затем после проверки щелкните Создать , чтобы развернуть.
Соединитель веб-транзакций Netskope (через хранилище BLOB-объектов)
Поддерживается:Netskope
Соединитель веб-транзакций Netskope прием журналов веб-транзакций из потоковой передачи журналов Netskope в Microsoft Sentinel через Хранилище BLOB-объектов Azure с помощью платформы соединителя без кода (CCF).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeWebTransactions_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения на подписку. Для создания ресурсов потока данных требуются разрешения.
- очереди хранилища (очередь уведомлений и очередь недоставленных сообщений)
- Раздел сетки событий и подписка (для отправки уведомлений о событии создания BLOB-объектов в очередь уведомлений)
- назначения ролей (для предоставления Microsoft Sentinel приложению доступа к контейнеру BLOB-объектов и очередям хранилища).
- Конфигурация сети учетной записи хранения. Сетевые ограничения (правила брандмауэра или IP-адресов) для учетной записи Хранилище BLOB-объектов Azure не поддерживаются для этого соединителя из-за Azure ограничений и ограничений брандмауэра хранилища:
- Правила IP-сетине действуютна запросы, исходящие из того же Azure региона, что и учетная запись хранения.
- Правила IP-сетине могут ограничиватьдоступ к службам Azure, развернутых в том же регионе, так как эти службы используют частные IP-адреса Azure для обмена данными.
- Правила конечной точки службы виртуальной сети не применяются к клиентам в парном регионе.
Убедитесь, что колонка "Сеть " учетной записи хранения имеет значение Включено из всех сетей.
- Назначения ролей учетной записи хранения. Следующие Azure роли RBAC должны быть назначены субъекту-службе Microsoft Sentinel корпоративного приложения (как показано ниже) в учетной записи хранения, содержащей контейнер BLOB-объектов:
- Участник данных BLOB-объектов хранилища — требуется для чтения данных BLOB-объектов из контейнера.
- Участник данных очереди хранилища — требуется для управления сообщениями очереди уведомлений и недоставленных сообщений.
Чтобы назначить эти роли, перейдите к учетной записи хранения → контроль доступа (IAM) → Добавить назначение ролей, найдите идентификатор субъекта-службы, показанный ниже, и назначьте обе роли.
- Сбор данных из Netskope в контейнер больших двоичных объектов. Выполните действия, описанные в документации по потоковой передаче журналов Netskope, чтобы настроить Netskope для потоковой передачи журналов веб-транзакций в контейнер Хранилище BLOB-объектов Azure.
Инструкции по настройке:
Подключение журналов Netskope WebTx к Microsoft Sentinel
Чтобы включить журналы Netskope WebTx для Microsoft Sentinel, укажите необходимые сведения ниже и щелкните Подключиться.
- URL-адрес контейнера BLOB-объектов, из которого требуется собирать данные:
- Имя папки больших двоичных объектов в контейнере. Необязательный параметр.:
- Расположение учетной записи хранения контейнера BLOB-объектов:
- Имя группы ресурсов учетной записи хранения контейнера BLOB-объектов:
- Идентификатор подписки на учетную запись хранения контейнера BLOB-объектов:
- Имя раздела сетки событий учетной записи хранения контейнера BLOB-объектов, если она существует. иначе оставьте пустым.:
- Включение и отключение подключения
Соединитель данных веб-транзакций Netskope
Поддерживается:Netskope
Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных в Log Analytics будут сформированы две таблицы: одна для данных веб-транзакций, а другая — для ошибок, возникших во время выполнения.
Дополнительные сведения о веб-транзакциях см. в следующей документации:
- Документация по веб-транзакциям Netskope:
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeWebtxData_CL |
Нет | Нет |
NetskopeWebtxErrors_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Compute: требуются разрешения на чтение и запись для Azure виртуальных машин. Дополнительные сведения см. в статье Azure виртуальных машин.
- Учетные данные и разрешения TransactionEvents: требуется клиент Netskope и токен API Netskope . Дополнительные сведения см. в разделе События транзакций.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель предоставляет функциональные возможности приема данных Веб-транзакций Netskope с помощью образа Docker для развертывания на виртуальной машине (Azure виртуальной машины или локальной виртуальной машины). Дополнительные сведения см. на странице цен на виртуальные машины Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по созданию и получении учетных данных для учетной записи Netskope
Выполните действия, описанные в этом разделе, чтобы создать или получить Netskope Hostname и Netskope API Token:
- Войдите в клиент Netskope и перейдите в меню Параметры на панели навигации слева.
- Щелкните Сервис, а затем — REST API версии 2.
- Теперь нажмите кнопку создать маркер. Затем он запросит имя маркера, срок действия и конечные точки, из которых вы хотите получить данные.
- После этого нажмите кнопку сохранить, маркер будет создан. Скопируйте маркер и сохраните его в безопасном месте для дальнейшего использования.
ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя данных на основе Docker для приема данных Netskope Web Transactions
ВАЖНО: Перед развертыванием соединителя данных Netskope должны быть доступны идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего списка), а также ключи авторизации API Netskope [Убедитесь, что маркер имеет разрешения на события транзакций].
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Использование шаблона Azure Resource Manager (ARM) для развертывания виртуальной машины [рекомендуется]
С помощью шаблона ARM разверните виртуальную машину Azure, установите необходимые компоненты и запустите выполнение.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующую информацию: Docker Image Name (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (Метка времени эпохи, которую вы хотите найти указатель pubsublite, можно оставить пустым) Workspace ID Workspace ID Workspace Key Backoff Retry Count (Счетчик повторных попыток для ошибок, связанных с маркером, перед перезапуском выполнения).)
Время ожидания спящего режима (количество секунд в спящем режиме перед повторным повтором) Время ожидания простоя (количество секунд для ожидания данных веб-транзакций перед перезапуском выполнения) Тип проверки подлинности имени виртуальной машины Администратор пароль или префикс метки КЛЮЧА DNS Расположение версии ОС Ubuntu Размер имя подсети Имя группы безопасности сети Тип безопасности группы безопасности сетиЩелкните Рецензирование и создание.
Затем после проверки щелкните Создать , чтобы развернуть.
Вариант 2. Развертывание вручную на ранее созданной виртуальной машине
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных на основе Docker на ранее созданной виртуальной машине.
- Установка docker и извлечение образа docker
ПРИМЕЧАНИЕ: Убедитесь, что виртуальная машина основана на Linux (желательно Ubuntu).
Во-первых, необходимо включить SSH в виртуальную машину.
Теперь установите подсистему Docker.
Теперь извлеките образ Docker из центра docker с помощью команды sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.
Теперь для запуска образа Docker используйте команду sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions. Mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions можно заменить идентификатором образа. Здесь docker_persistent_volume — это имя папки, которая будет создана на виртуальной машине, в которой будут храниться файлы.
Настройка параметров
После запуска образа Docker он запросит необходимые параметры.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): Netskope HostName Netskope Api Token Seek Timestamp (Метка времени эпохи, которую вы хотите искать указатель pubsublite, можно оставить пустым) Идентификатор рабочей области Ключ Backoff Retry Count (Счетчик повторных попыток для ошибок, связанных с маркером, перед перезапуском выполнения.)
Время ожидания спящего режима (количество секунд в спящем режиме перед повтором) Время ожидания простоя (количество секунд ожидания данных веб-транзакций перед перезапуском выполнения)Теперь выполнение запущено, но находится в интерактивном режиме, поэтому оболочку нельзя остановить. Чтобы запустить его в фоновом режиме, остановите текущее выполнение, нажав клавиши CTRL+C, а затем используйте команду sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.
Остановка контейнера Docker
Используйте команду sudo docker container ps, чтобы получить список запущенных контейнеров Docker. Запишите идентификатор контейнера.
Теперь остановите контейнер с помощью команды sudo docker stop <container-id>.
Группы безопасности сети
Поддерживается корпорациейМайкрософт
Azure группы безопасности сети (NSG) позволяют фильтровать сетевой трафик Azure ресурсов в Azure виртуальной сети и из нее. Группа безопасности сети включает правила, которые разрешают или запрещают трафик в подсеть виртуальной сети, сетевой интерфейс или и то, и другое.
При включении ведения журнала для группы безопасности сети можно собирать следующие типы сведений журнала ресурсов:
- Событие: Записываются записи, для которых правила NSG применяются к виртуальным машинам на основе MAC-адреса.
- Счетчик правил: Содержит записи о том, сколько раз применяется каждое правило NSG для запрета или разрешения трафика. Состояние этих правил собирается каждые 300 секунд.
Этот соединитель позволяет выполнять потоковую передачу журналов диагностика NSG в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
NordPass
Поддерживается:NordPass
Интеграция NordPass с Microsoft Sentinel SIEM через API позволяет автоматически передавать данные журнала действий из NordPass в Microsoft Sentinel и получать аналитические сведения в режиме реального времени, такие как действия элементов, все попытки входа и уведомления безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NordPassEventLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Убедитесь, что группа ресурсов и рабочая область Log Analytics созданы и расположены в одном регионе, чтобы можно было развернуть Функции Azure.
- Добавьте Microsoft Sentinel в созданную рабочую область Log Analytics.
- Создайте URL-адрес API Microsoft Sentinel и маркер на панели Администратор NordPass, чтобы завершить интеграцию Функции Azure. Обратите внимание, что для этого вам потребуется учетная запись NordPass Enterprise.
- Важно: Этот соединитель использует Функции Azure для получения журналов действий из NordPass в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Инструкции по настройке:
Продолжение настройки Microsoft Sentinel
Нажмите кнопку Развернуть в Azure ниже.
Обратите внимание, что после успешного развертывания система по умолчанию извлекает данные журнала действий каждые 1 минуту.
Соединитель общего доступа к данным Obsidian
Поддерживается:Obsidian Security
Соединитель Obsidian Datasharing предоставляет возможность считывания необработанных данных событий из obsidian Datasharing в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ObsidianActivity_CL |
Нет | Нет |
ObsidianThreat_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель считывает данные из таблиц, которые obsidian Datasharing использует в рабочей области Microsoft Analytics. Если параметр пересылки данных включен в Obsidian Datasharing, необработанные данные событий отправляются в API приема Microsoft Sentinel.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Отправка журналов в рабочую область
Используйте следующие параметры, чтобы настроить компьютер для отправки журналов в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя Stream действия: <значение переменной, указанное во время установки>
- Имя Stream угрозы: <значение переменной, указанное во время установки>
Okta Single Sign-On (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API журнала Okta Sysem в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует API системных журналов Okta для получения событий. Соединитель поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OktaSSO |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Токен API Okta: маркер API Okta. Следуйте приведенным ниже инструкциям, чтобы создать api системных журналов Okta см. документацию .
Инструкции по настройке:
Чтобы включить одиночный Sign-On Okta для Microsoft Sentinel, укажите необходимые сведения ниже и нажмите кнопку Подключиться.
- Сетка соединителей данных (настройка на портале)
Защита от атак: интеграция несоответвленного SAP Threat Detection & Intel с Microsoft Sentinel
Поддерживается:Onapsis
Предоставление командам по безопасности возможности глубокого наблюдения за уникальными эксплойтами, действиями субъектов нулевого дня и угроз; подозрительное поведение пользователя или программы предварительной оценки; скачивание конфиденциальных данных; нарушения контроля безопасности; и многое другое - все обогащено экспертами SAP onapsis.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Onapsis_Defend_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Мы создадим ресурсы правила сбора данных (DCR) и конечной точки сбора данных (DCE). Мы также создадим Microsoft Entra регистрации приложения и назначим ему необходимые разрешения.
Автоматическое развертывание ресурсов Azure При нажатии кнопки "Развернуть ресурсы принудительного соединителя" будет запущено создание ресурсов DCR и DCE. Затем он создаст Microsoft Entra регистрации приложения с секретом клиента и предоставит разрешения на DCR. Эта настройка позволяет безопасно отправлять данные в DCR с помощью учетных данных клиента OAuth версии 2.
2. Ведение сведений о конечной точке сбора данных и сведений о проверке подлинности в onapsis Defender Integration
Передайте URL-адрес конечной точки сбора данных и сведения о проверке подлинности администратору интеграции Onapsis Defender, чтобы настроить интеграцию Onapsis Defender для отправки данных в конечную точку сбора данных.
- Идентификатор клиента | Используйте это значение для настройки в качестве идентификатора клиента: <значение переменной, указанное во время установки.>
- идентификатор приложения Entra | Используйте это значение для параметра Идентификатор клиента: <значение переменной, указанное во время установки.>
- Entra секрет приложения | Используйте это значение для значения переменной Token: <, указанной во время установки.>
- LogIngestionURL | Используйте это значение для параметра URL-адреса: <значение переменной, указанное во время установки.>
- Неизменяемый идентификатор DCR | Используйте это значение для параметра DCR_ID: <значение переменной, указанное во время установки.>
Платформа IAM OneLogin (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных OneLogin предоставляет возможность приема распространенных событий платформы IAM OneLogin в Microsoft Sentinel через REST API с помощью API событий OneLogin и API для пользователей OneLogin. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OneLoginEventsV2_CL |
Да | Да |
OneLoginUsersV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные API OneLogin IAM. Чтобы создать учетные данные API, перейдите по ссылке на документ, указанную здесь, щелкните Здесь. Убедитесь, что у вас есть тип учетной записи владельца или администратора учетной записи, чтобы создать учетные данные API. После создания учетных данных API вы получите идентификатор клиента и секрет клиента.
Инструкции по настройке:
Подключение платформы IAM OneLogin к Microsoft Sentinel
Чтобы принять данные из OneLogin IAM в Microsoft Sentinel, необходимо нажать кнопку Добавить домен ниже, а затем открыть всплывающее окно, чтобы заполнить сведения, указать необходимые сведения и нажать кнопку Подключить. В сетке отображаются подключенные конечные точки домена.
- Сетка соединителей данных (настройка на портале)
OneTrust
Поддерживается:OneTrust, LLC
Соединитель OneTrust для Microsoft Sentinel позволяет практически в реальном времени отслеживать расположение или исправление конфиденциальных данных в Google Cloud и других поддерживаемых OneTrust источниках данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OneTrustMetadataV3_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель считывает данные из таблиц, которые OneTrust использует в рабочей области Microsoft Analytics. Если параметр пересылки данных OneTrust включен, необработанные данные событий можно отправлять в API приема Microsoft Sentinel.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Отправка журналов в рабочую область
Используйте следующие параметры, чтобы настроить компьютер для отправки журналов в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя метаданных OneTrust Stream: <значение переменной, указанное во время установки>
Соединитель данных Open Systems
Поддерживается:Open Systems
Соединитель Microsoft Sentinel API журналов открытых систем предоставляет возможность приема журналов Open Systems в Microsoft Sentinel с помощью API журналов Open Systems.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Да | Да |
OpenSystemsFirewallLogs_CL |
Нет | Нет |
OpenSystemsAuthenticationLogs_CL |
Нет | Нет |
OpenSystemsProxyLogs_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure контейнерных приложений, dcr и dcEs: требуются разрешения для развертывания Azure приложений-контейнеров, управляемых сред, правил сбора данных (DCR) и конечных точек сбора данных (DCEs). Обычно для этого используется роль "Участник" в подписке или группе ресурсов.
- Разрешения на назначение ролей. Для развертывания пользователя или субъекта-службы требуются разрешения на создание назначений ролей (в частности, "Издатель метрик мониторинга" в dcr).
- Необходимые учетные данные для шаблона ARM. Во время развертывания необходимо указать: конечную точку API открытых системных журналов и строка подключения, а также учетные данные субъекта-службы (идентификатор клиента, секрет клиента, идентификатор объекта или субъекта).
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Пользовательские предварительные требования при необходимости, в противном случае удалите этот тег таможни: Описание всех настраиваемых предварительных требований
Инструкции по настройке:
ШАГ 1. Предварительные требования
Перед продолжением убедитесь, что у вас есть следующие сведения и разрешения:
- Откройте конечную точку API журналов системы и строку подключения.
- Учетные данные субъекта-службы (идентификатор клиента, секрет клиента, идентификатор объекта или субъекта).
- Разрешения на развертывание Azure приложений-контейнеров, управляемых сред, правил сбора данных (DCR), конечных точек сбора данных (DCE) и создания назначений ролей (обычно это роль "Участник" в подписке или группе ресурсов).
ШАГ 2. Развертывание соединителя
Разверните шаблон ARM, чтобы настроить ресурсы обработки данных, включая правило сбора данных и связанные компоненты.
Нажмите кнопку Развернуть в Azure ниже. Это приведет вас к портал Azure.
В портал Azure выберите нужную подписку, группу ресурсов и регион.
При появлении запроса мастера развертывания укажите необходимые параметры, включая параметры, собранные на этапе предварительных требований (сведения об API открытых системных журналов, учетные данные субъекта-службы и т. д.).
Просмотрите условия и нажмите кнопку Проверить и создать, а затем Создать , чтобы начать развертывание.
ШАГ 3. Проверка после развертывания
После успешного развертывания:
- Убедитесь, что приложение-контейнер Azure, на котором запущен процессор, находится в состоянии "Выполняется".
-
OpenSystemsZtnaLogs_CLПроверьте таблицы ,OpenSystemsFirewallLogs_CL,OpenSystemsAuthenticationLogs_CLиOpenSystemsProxyLogs_CLв рабочей области Log Analytics на наличие входящих данных. После начальной настройки журналы могут появиться через некоторое время. - Используйте примеры запросов, представленные на вкладке "Дальнейшие действия" на этой странице соединителя данных, для просмотра и анализа журналов.
OpenAI (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных OpenAI позволяет принимать журналы аудита, данные завершения чата или оба из организации OpenAI в Microsoft Sentinel через API OpenAI. Для каждого типа данных используется отдельный опрашиватель REST API и требуется другой тип ключа API: для журналов аудита (действия пользователей, управление ключами API, изменения в организации, события безопасности) требуется ключ API администратора на уровне организации, а для завершения чата (использование модели, использование маркеров, метрики производительности) требуется ключ API уровня проекта. Вы можете настроить один или оба типа данных независимо друг от друга. Журналы аудита собираются в настраиваемую таблицу OpenAIAuditLogs_CL (с псевдонимом с помощью средства синтаксического анализа OpenAIAuditLogs). Завершение чата нормализуется в стандартную таблицу ASIM ASimAgentEventLogs (с псевдонимом с помощью средства синтаксического анализа OpenAIChatCompletions) для мониторинга безопасности, анализа соответствия требованиям и мониторинга использования. Дополнительные сведения см. в документации по API OpenAI .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OpenAIAuditLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к API OpenAI. Для каждого типа данных требуется другой тип ключа API. Для журналов аудита требуется ключ API администратора на уровне организации . Его можно создать в параметрах организации OpenAI. Для завершения чата требуется ключ API уровня проекта . Его можно создать в определенном проекте на панели мониторинга OpenAI. Вы можете настроить журналы аудита, завершения чата или и то, и другое отдельно.
Инструкции по настройке:
Сведения о подключении
Сведения о подключениях, используемых для сбора данных из API OpenAI.
-
Журналы аудита (
OpenAIAuditLogs): - Используйте ключи API администратора на уровне организации.
- Ведение журнала аудита должно быть включено в параметрах организации OpenAI. Владельцы организации могут перейти к OpenAI
Organization settings,>>Data controlsData retentionчтобы включить ведение журнала аудита. - После включения ведения журнала аудита OpenAI его невозможно отключить, не обратившись в службу поддержки OpenAI.
-
Завершение чата (
ASimAgentEventLogs): - Используйте ключи API уровня проекта.
- Будут собираться только завершения чата, созданные с параметром
store,trueравным. - Завершение чата нормализуется в стандартной таблице ASimAgentEventLogs ASIM.
- При удалении сохраненных завершений чата, пока этот соединитель активен, может потребоваться отключиться и повторно подключиться для сброса состояния сбора данных.
Добавление подключения к журналам аудита OpenAI
Введите учетные данные API OpenAI для сбора данных журналов аудита из API OpenAI.
Добавление подключения к завершению чата OpenAI
Введите учетные данные API OpenAI для сбора данных о завершении чата из API OpenAI.
- Сетка соединителей данных (настройка на портале)
Oracle Cloud Infrastructure (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Oracle Cloud Infrastructure (OCI) предоставляет возможность приема журналов OCI из Stream OCI в Microsoft Sentinel с помощью REST API потоковой передачи OCI.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OCI_LogsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API потоковой передачи OCI. Требуется доступ к API потоковой передачи OCI через ключи подписывания API.
Инструкции по настройке:
Подключитесь к API потоковой передачи OCI, чтобы начать сбор журналов событий в Microsoft Sentinel
- Войдите в консоль OCI и откройте меню навигации.
- В меню навигации выберите "Аналитика & ИИ" —> "Потоковая передача".
- Щелкните "Создать Stream".
- Выберите существующий "пул Stream" или создайте новый.
- Введите следующие сведения:
- "имя Stream"
- "Хранение"
- "Число секций"
- "Общая скорость записи"
- "Общая скорость чтения" (на основе объема данных)
- В меню навигации выберите "Ведение журнала" —> "Соединители служб".
- Щелкните "Создать соединитель службы".
- Введите следующие сведения:
- "Имя соединителя"
- «Описание»
- "Resource Compartment"
- Выберите "Источник": "Ведение журнала".
- Выберите "Цель": "Потоковая передача".
- (Необязательно) Настройте "Группу журналов", "Фильтры" или используйте "пользовательский поисковый запрос" для потоковой передачи только необходимых журналов.
- Настройте "Целевой объект", выбрав ранее созданный поток.
- Нажмите кнопку "Создать".
- Следуйте документации, чтобы создать файл конфигурации закрытого ключа и ключа API. Сохраните pem-файл, парольную фразу (необязательно, она не задана при использовании консоли OCI для создания пары ключей подписи API) и отпечаток пальца в защищенном месте для использования при подключении.
- Сетка соединителей данных (настройка на портале)
Оповещения системы безопасности Orca
Поддерживается:Orca Security
Соединитель оповещений системы безопасности Orca позволяет легко экспортировать журналы оповещений в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OrcaAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Следуйте инструкциям по интеграции журналов оповещений системы безопасности Orca с Microsoft Sentinel.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Palo Alto Cortex XDR
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Cortex XDR позволяет принимать журналы из API Palo Alto Cortex XDR в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API XDR Palo Alto Cortex для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Да | Да |
PaloAltoCortexXDR_Endpoints_CL |
Да | Да |
PaloAltoCortexXDR_Audit_Management_CL |
Да | Да |
PaloAltoCortexXDR_Audit_Agent_CL |
Да | Да |
PaloAltoCortexXDR_Alerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Действия по настройке ДЛЯ API XDR Palo Alto Cortex Следуйте инструкциям, чтобы получить учетные данные. Вы также можете следовать этому руководству , чтобы создать ключ API.
Получение URL-адреса API 1.1. Войдите в Palo Alto Cortex XDR [Консоль управления] с Администратор учетными данными пользователя 1.2. В [консоли управления] щелкните [Параметры] —> [Конфигурации] 1.3. В разделе [Интеграции] щелкните [Ключи API]. 1.4. На странице [Параметры] щелкните [Копировать URL-адрес API] в правом верхнем углу.
Получение токена API 2.1. Войдите в Palo Alto Cortex XDR [консоль управления] с Администратор учетными данными пользователя 2.2. В [консоли управления] щелкните [Параметры] —> [Конфигурации] 2.3. В разделе [Интеграции] щелкните [Ключи API]. 2.4. На странице [Параметры] щелкните [Новый ключ] в правом верхнем углу. 2.5. Выберите уровень безопасности, роль, Standard и щелкните [Создать] 2.6. Скопируйте токен API, после того как он сгенерировал [идентификатор токена API] можно найти в столбце ИДЕНТИФИКАТОР.
-
Базовый URL-адрес API: (
https://api-example.xdr.au.paloaltonetworks.com) - Идентификатор ключа API: (идентификатор API)
- Токен API: (токен API)
- Включение и отключение подключения
Palo Alto Cortex Xpanse (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Cortex Xpanse получает данные оповещений в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CortexXpanseAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение Palo Alto Xpanse к Microsoft Sentinel
Чтобы принять данные из Palo Alto Cortex Xpanse в Microsoft Sentinel, щелкните Добавить домен. Введите необходимые сведения во всплывающем окне и нажмите кнопку Подключить. Вы увидите подключенные конечные точки домена в сетке ниже. Чтобы получить идентификатор проверки подлинности и ключ API, перейдите в раздел Параметры → Конфигурация → интеграции → ключи API на портале Cortex Xpanse и создайте новые учетные данные.
- Сетка соединителей данных (настройка на портале)
Palo Alto Prisma Cloud CSPM (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Prisma Cloud CSPM позволяет подключаться к экземпляру Palo Alto Prisma Cloud CSPM и принимать оповещения (https://pan.dev/prisma-cloud/api/cspm/alerts/) & журналы аудита(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение событий Palo Alto Prisma Cloud CSPM к Microsoft Sentinel
Чтобы получить дополнительные сведения о том, как получить ключ доступа к Cloud Prisma, секретный ключ и базовый URL-адрес, ознакомьтесь сруководством по соединителю, укажите необходимые сведения ниже и нажмите кнопку Подключить.
- Prisma Cloud Access Key (Введите ключ доступа)
- Секретный ключ Prisma Cloud: (введите секретный ключ)
- Базовый URL-адрес Prisma Cloud: (https://api2.eu.prismacloud.io)
- Включение и отключение подключения
- Сетка соединителей данных (настройка на портале)
Palo Alto Prisma Cloud CWPP (с использованием REST API)
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Prisma Cloud CWPP позволяет подключаться к экземпляру Palo Alto Prisma Cloud CWPP и принимать оповещения в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует Облачный API Prisma для получения событий безопасности и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в пользовательские столбцы, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PrismaCloudCompute_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API PrismaCloudCompute: требуется имя пользователя и пароль API монитора CWPP Для Palo Alto Prisma Cloud. Дополнительные сведения см. в разделе PrismaCloudCompute SIEM API.
Инструкции по настройке:
Подключение событий безопасности Palo Alto Prisma Cloud CWPP к Microsoft Sentinel
Чтобы включить события безопасности Palo Alto Prisma Cloud CWPP для Microsoft Sentinel, укажите необходимые сведения ниже и щелкните Подключиться.
- Путь к консоли: (europe-west3.cloud.twistlock.com/{sasid})
- Prisma Access Key (API): (Prisma Access Key (API))
- Секрет: (Секрет)
- Включение и отключение подключения
Pathlock Inc.: Обнаружение угроз и реагирование на нее для SAP
Поддерживается:Pathlock Inc.
Интеграция Pathlock Threat Detection and Response (TD&R) с решением Microsoft Sentinel для SAP обеспечивает единую видимость событий безопасности SAP в режиме реального времени, позволяя организациям обнаруживать угрозы и реагировать на угрозы во всех ландшафтах SAP. Благодаря встроенной интеграции центры управления безопасностью (SOC) могут сопоставлять оповещения SAP с телеметрией на уровне предприятия, создавая практический анализ, который связывает ИТ-безопасность с бизнес-процессами.
Соединитель Pathlock специально создан для SAP и по умолчанию пересылает только события, относящиеся к безопасности, что позволяет минимизировать объем данных и шум, сохраняя при этом гибкость при переадресации всех источников журналов при необходимости. Каждое событие дополняется контекстом бизнес-процессов, что позволяет Microsoft Sentinel Решение для аналитики SAP, чтобы отличать операционные шаблоны от реальных угроз и определить приоритеты действительно важных.
Такой подход, ориентированный на точность, помогает группам безопасности резко сократить ложноположительные срабатывания, сосредоточиться на исследованиях и ускорить среднее время обнаружения (MTTD) и среднее время реагирования (MTTR). Библиотека Pathlock состоит из более чем 1500 сигнатур обнаружения SAP в более чем 70 источниках журналов. Решение выявляет сложные атаки, слабые места конфигурации и аномалии доступа.
Объединяя аналитику бизнес-контекста с расширенной аналитикой, Pathlock позволяет предприятиям повысить точность обнаружения, оптимизировать действия по реагированию и поддерживать непрерывный контроль в средах SAP, не добавляя при этом сложности или избыточные уровни мониторинга.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Мы создадим ресурсы правила сбора данных (DCR) и конечной точки сбора данных (DCE). Мы также создадим Microsoft Entra регистрации приложения и назначим ему необходимые разрешения.
Автоматическое развертывание ресурсов Azure При нажатии кнопки "Развернуть ресурсы принудительного соединителя" будет запущено создание ресурсов DCR и DCE. Затем он создаст Microsoft Entra регистрации приложения с секретом клиента и предоставит разрешения на DCR. Эта настройка позволяет безопасно отправлять данные в DCR с помощью учетных данных клиента OAuth версии 2.
2. Обслуживание сведений о конечной точке сбора данных и сведений о проверке подлинности в центральном экземпляре управления кибербезопасностью Приложений Pathlock: обнаружение угроз и реагирование
Поделитесь URL-адресом конечной точки сбора данных и сведениями о проверке подлинности с администратором Pathlock, чтобы настроить перенаправление plug and play в службе обнаружения угроз и реагирования на отправку данных в конечную точку сбора данных. Если требуется поддержка, обратитесь в Pathlock.
- Используйте это значение для настройки в качестве идентификатора клиента в учетных данных LogIngestionAPI.: <значение переменной, указанное во время установки>
- идентификатор приложения Entra: <значение переменной, указанное во время установки.>
- Entra секрет приложения: <значение переменной, указанное во время установки.>
- Используйте это значение для настройки параметра LogsIngestionURL при развертывании переменной IFlow.: <, указанной во время установки.>
- Неизменяемый идентификатор DCR: <значение переменной, указанное во время установки>
Журналы действий периметра 81
Поддерживается:Периметр 81
Соединитель журналов действий Периметр 81 позволяет легко подключать журналы действий Периметра 81 к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Perimeter81_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Обратите внимание на приведенные ниже значения и следуйте приведенным здесь инструкциям, чтобы подключить журналы действий Периметр 81 к Microsoft Sentinel.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Устройства для фосфора
Поддерживается:Phosphorus Inc.
Соединитель устройства «Фосфорус» предоставляет возможности для фосфора принимать журналы данных устройства в Microsoft Sentinel с помощью REST API Фосфора. Соединитель обеспечивает видимость устройств, зарегистрированных в Приложении Фосфор. Этот соединитель данных извлекает сведения об устройствах вместе с соответствующими оповещениями.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Phosphorus_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Учетные данные и разрешения REST API: требуется ключ API Для фосфора . Убедитесь, что для ключа API, связанного с пользователем, включены разрешения на управление параметрами.
Следуйте этим инструкциям, чтобы включить разрешения на управление параметрами.
- Вход в приложение "Фосфор"
- Перейдите в раздел "Параметры" -> "Группы"
- Выберите группу, частью в который входит пользователь интеграции.
- Перейдите к разделу Действия продукта—> переключите разрешение "Управление параметрами".
Инструкции по настройке:
Шаг 1. Шаги по настройке ДЛЯ API Фосфора
Следуйте этим инструкциям, чтобы создать ключ API Для фосфора.
- Войдите в экземпляр Фосфора
- Перейдите в раздел Параметры —> API
- Если ключ API еще не создан, нажмите кнопку Добавить , чтобы создать ключ API.
- Ключ API теперь можно скопировать и использовать во время настройки соединителя устройства Для фосфора
Подключение приложения Фосфора к Microsoft Sentinel
ШАГ 2. Заполните приведенные ниже сведения
ВАЖНО: Перед развертыванием соединителя данных устройства Фосфора необходимо иметь в наличии доменное имя экземпляра Фосфора, а также ключи API Фосфора.
Ping One (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель выполняет прием журналов действий аудита с платформы PingOne Identity в Microsoft Sentinel с помощью платформы соединителя без кода.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение соединителя Ping One к Microsoft Sentinel
Перед подключением к PingOne убедитесь, что выполнены следующие предварительные требования. Подробные инструкции по настройке, включая получение учетных данных клиента и идентификатора среды, см. в этом документе .
Учетные данные клиента Вам потребуются учетные данные клиента, включая идентификатор клиента и секрет клиента.
Идентификатор среды
Создание маркера и сбор журналов из конечной точки действий аудита
- Сетка соединителей данных (настройка на портале)
Соединитель данных Prancer
Поддерживается интеграцией:Prancer PenSuiteAI
Соединитель данных Prancer предоставляет возможность приема данных Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] и PAC для обработки через Microsoft Sentinel. Дополнительные сведения см. в документации по Prancer .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
prancer_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Включите настраиваемые предварительные требования, если требуется подключение. В противном случае удалите таможни: описание любых настраиваемых предварительных требований
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API Prancer для извлечения журналов в Microsoft sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ШАГ 1. Следуйте документации на сайте документации Prancer , чтобы настроить сканирование с помощью облачного соединителя Azure.
ШАГ 2. После создания сканирования перейдите в меню "Интеграция третьей части" для сканирования и выберите Sentinel.
ШАГ 3. Создайте следуйте указаниям мастера настройки, чтобы выбрать, куда в Azure должны отправляться результаты.
ШАГ 4. Данные должны начаться для отправки в Microsoft Sentinel для обработки.
Премиум Аналитика угроз Microsoft Defender
Поддерживается корпорациейМайкрософт
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и принимать данные из него, приобретите номер SKU "ДОСТУП к API MDTI" в Центре партнеров.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Proofpoint On Demand Email Security (с помощью платформы соединителей без кода)
Поддерживается:Proofpoint, Inc.
Соединитель данных Proofpoint On Demand Email Security предоставляет возможность получать данные Proofpoint on Demand Email Protection, позволяет пользователям проверка трассировку сообщений, мониторинг действий электронной почты, угроз и кражу данных злоумышленниками и злоумышленниками. Соединитель позволяет просматривать события в организации на ускоренной основе, получать файлы журнала событий с почасовой приращением для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofpointPODMailLog_CL |
Да | Да |
ProofpointPODMessage_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные и разрешения API Websocket: необходимы ProofpointClusterID и ProofpointToken . Дополнительные сведения см. в разделе API.
Инструкции по настройке:
Действия по настройке API Websocket pod Proofpoint
API журналов PoD не позволяет использовать один и тот же маркер для нескольких сеансов одновременно, поэтому убедитесь, что маркер нигде не используется.
Для службы API Proofpoint Websocket требуется лицензия на удаленную пересылку системного журнала. Ознакомьтесь с документацией по включению и проверка API журналов PoD. Необходимо указать идентификатор кластера и маркер безопасности.
Получите идентификатор кластера 1.1. Войдите в proofpoint [консоль управления] с Администратор учетными данными пользователя.
1.2. В консоли управления идентификатор кластера отображается в правом верхнем углу.
Получите токен API 2.1. Войдите в proofpoint [консоль управления] с Администратор учетными данными пользователя.
2.2. В консоли управления щелкните Параметры —> управление ключами API.
2.3. В разделе Управление ключами API щелкните вкладку Ведение журнала poD .
2.4. Получите или создайте новый ключ API.
- Идентификатор кластера: (cluster_id)
- Ключ API: (ключ API)
- Включение и отключение подключения
Proofpoint On Demand Email Security (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Proofpoint On Demand Email Security предоставляет возможность получать данные Proofpoint on Demand Email Protection, позволяет пользователям проверка трассировку сообщений, мониторинг действий электронной почты, угроз и кражу данных злоумышленниками и злоумышленниками. Соединитель позволяет просматривать события в организации на ускоренной основе, получать файлы журнала событий с почасовой приращением для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofpointPODMailLog_CL |
Да | Да |
ProofpointPODMessage_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные и разрешения API Websocket: необходимы ProofpointClusterID и ProofpointToken . Дополнительные сведения см. в разделе API.
Инструкции по настройке:
Действия по настройке API Websocket pod Proofpoint
API журналов PoD не позволяет использовать один и тот же маркер для нескольких сеансов одновременно, поэтому убедитесь, что маркер нигде не используется.
Для службы API Proofpoint Websocket требуется лицензия на удаленную пересылку системного журнала. Ознакомьтесь с документацией по включению и проверка API журналов PoD. Необходимо указать идентификатор кластера и маркер безопасности.
Получите идентификатор кластера 1.1. Войдите в proofpoint [консоль управления] с Администратор учетными данными пользователя.
1.2. В консоли управления идентификатор кластера отображается в правом верхнем углу.
Получите токен API 2.1. Войдите в proofpoint [консоль управления] с Администратор учетными данными пользователя.
2.2. В консоли управления щелкните Параметры —> управление ключами API.
2.3. В разделе Управление ключами API щелкните вкладку Ведение журнала poD .
2.4. Получите или создайте новый ключ API.
- Идентификатор кластера: (cluster_id)
- Ключ API: (ключ API)
- Включение и отключение подключения
Proofpoint TAP (через платформу соединителя без кода)
Поддерживается:Proofpoint, Inc.
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий сообщений и щелчков в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Да | Да |
ProofPointTAPMessagesBlockedV2_CL |
Да | Да |
ProofPointTAPClicksPermittedV2_CL |
Да | Да |
ProofPointTAPClicksBlockedV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API TAP proofpoint. Для доступа к API SIEM Proofpoint требуется субъект-служба API Proofpoint TAP и секрет. Дополнительные сведения см. в разделе API SIEM Proofpoint.
Инструкции по настройке:
Действия по настройке API TAP proofpoint
- Вход на панель мониторинга Proofpoint TAP
- Перейдите в раздел Параметры и перейдите на вкладку Подключенные приложения .
- Щелкните Создать учетные данные.
- Укажите имя и нажмите кнопку Создать.
- Копирование значений субъекта-службы и секрета
ПРИМЕЧАНИЕ: Этот соединитель зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом ProofpointTAPEvent, которая развертывается вместе с решением Microsoft Sentinel.
- Субъект-служба: (123456)
- Секрет: (123456)
- Включение и отключение подключения
Proofpoint TAP (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий сообщений и щелчков в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Да | Да |
ProofPointTAPMessagesBlockedV2_CL |
Да | Да |
ProofPointTAPClicksPermittedV2_CL |
Да | Да |
ProofPointTAPClicksBlockedV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API TAP proofpoint. Для доступа к API SIEM Proofpoint требуется субъект-служба API Proofpoint TAP и секрет. Дополнительные сведения см. в разделе API SIEM Proofpoint.
Инструкции по настройке:
Действия по настройке API TAP proofpoint
- Вход на панель мониторинга Proofpoint TAP
- Перейдите в раздел Параметры и перейдите на вкладку Подключенные приложения .
- Щелкните Создать учетные данные.
- Укажите имя и нажмите кнопку Создать.
- Копирование значений субъекта-службы и секрета
ПРИМЕЧАНИЕ: Этот соединитель зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом ProofpointTAPEvent, которая развертывается вместе с решением Microsoft Sentinel.
- Субъект-служба: (123456)
- Секрет: (123456)
- Включение и отключение подключения
QscoutAppEventsConnector (через платформу соединителя без кода)
Поддерживается:Quokka
Прием событий приложения Qscout в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QscoutAppEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Идентификатор организации Qscout. ДЛЯ API требуется идентификатор вашей организации в Qscout.
- Ключ API организации Qscout. Для API требуется ключ API организации в Qscout.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует платформу соединителя без кода (CCF) для подключения к веб-каналу событий приложения Qscout и приема данных в Microsoft Sentinel
Укажите следующие обязательные значения:
- Идентификатор организации Qscout: (123456)
- Ключ API организации Qscout: (abcdxyz)
- Включение и отключение подключения
База знаний Qualys (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Прием данных об уязвимостях базы знаний Qualys в Microsoft Sentinel с помощью API Qualys версии 4.0.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysKnowledgeBase |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к QUALYS API. Требуется учетная запись пользователя Qualys с доступом на чтение к конечным точкам базы знаний.
Инструкции по настройке:
Шаг 1. Настройка учетных данных. Укажите учетные данные API Qualys, чтобы включить прием данных из базы знаний Qualys.
Чтобы собрать данные с виртуальной машины Qualys, необходимо предоставить следующие ресурсы:
Учетные данные API: имя пользователя и пароль для учетной записи с доступом на чтение к API базы знаний. Точные разрешения, необходимые для этого, см. в документации по API Qualys.
URL-адрес сервера API: URL-адрес сервера API Qualys, относящегося к вашему региону. Точный URL-адрес сервера API для вашего региона можно найти здесь.
URL-адрес сервера API: (введите URL-адрес сервера API)
Имя пользователя: (введите имя пользователя Qualys)
Пароль: (введите пароль или токен Qualys) Шаг 2. Установка необязательных фильтров
Настройте необязательные фильтры, чтобы настроить, какие уязвимости будут приниматься. Дополнительные сведения о доступных фильтрах см. в документации по API Qualys.
2a. Фильтрация по состоянию исправления Выберите, чтобы отобразить только уязвимости, которые могут быть исправлены или не могут быть исправлены.
2b. Фильтрация по методу обнаружения и типам проверки подлинности Выберите, чтобы получать уязвимости, назначенные определенным методом обнаружения или имеющие определенные типы проверки подлинности.
Типы проверки подлинности обнаружения (например, Windows, Oracle, Unix, SNMP (разделенные запятыми)) Шаг 3. Проверка и включение проверьте параметры конфигурации и включите соединитель, чтобы начать прием данных Базы знаний Qualys в Microsoft Sentinel.
Включение и отключение подключения
База знаний виртуальных машин Qualys (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель Базы знаний Qualys Vulnerability Management (VM) предоставляет возможность приема последних данных об уязвимостях из Qualys KB в Microsoft Sentinel.
Эти данные могут использоваться для корреляции и обогащения обнаружений уязвимостей, обнаруженных соединителем данных Управления уязвимостями Qualys (VM).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysKB_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Ключ API Qualys. Требуется имя пользователя и пароль API Qualys vm. Дополнительные сведения см. в разделе Qualys VM API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, которая развертывается в составе решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Журналы, щелкните Функции и найдите псевдоним Базы знаний QualysVM и загрузите код функции. Во второй строке запроса введите имена узлов для устройств базы знаний QualysVM и другие уникальные идентификаторы для потока журнала. Обычно для активации функции требуется 10–15 минут после установки или обновления решения.
Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, для работы должным образом. Выполните действия, чтобы использовать псевдоним функции Kusto, QualysKB.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Шаги по настройке ДЛЯ API Qualys
- Войдите в консоль Управления уязвимостями Qualys с учетной записью администратора, выберите вкладку Пользователи и подзадавку Пользователи.
- Щелкните раскрывающееся меню Создать и выберите Пользователи.
- Создайте имя пользователя и пароль для учетной записи API.
- На вкладке Роли пользователей убедитесь, что для роли учетной записи задано значение Диспетчер и разрешен доступ к графическому интерфейсу пользователя и API.
- Выйдите из учетной записи администратора и войдите в консоль с новыми учетными данными API для проверки, а затем выйдите из учетной записи API.
- Снова войдите в консоль с помощью учетной записи администратора и измените учетные записи API Роли пользователей, удалив доступ к графическому интерфейсу пользователя.
- Сохраните все изменения.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя Qualys KB укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также имя пользователя и пароль API Qualys.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Qualys KB с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, обновите URI и любые дополнительные параметры фильтра URI (это значение должно содержать символ "&" между каждым параметром и не должно содержать пробелов).
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов сервера API можно найти здесь.
- Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
- Примечание. Если развертывание завершилось сбоем из-за используемого имени учетной записи хранения, измените имя функции на уникальное значение и повторно разверните.
Вариант 2. Развертывание Функции Azure вручную
Этот метод предоставляет пошаговые инструкции по развертыванию соединителя Qualys KB вручную с помощью функции Azure.
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих семи (7) параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): apiUsername apiPassword workspaceID workspaceПрофильтр URI ключаПараметры logAnalyticsUri (необязательно).
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов сервера API можно найти здесь. Значение
uriдолжно соответствовать следующей схеме:https://<API Server>/api/2.0 - Добавьте дополнительные параметры фильтра для переменной
filterParameters, которые необходимо добавить в URI. ЗначениеfilterParameterдолжно содержать символ "&" между каждым параметром и не должно включать пробелы. - Примечание. Если используется Azure Key Vault, вместо строковых значений
@Microsoft.KeyVault(SecretUri={Security Identifier})используйте схему. Дополнительные сведения см. в документации по Key Vault. - Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для делегированного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Управление уязвимостями Qualys (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных об обнаружении узлов уязвимостей в Microsoft Sentinel с помощью API Qualys. Соединитель обеспечивает видимость данных об обнаружении узла из проверок вялости.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysHostDetectionV3_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API и роли. Убедитесь, что пользователь виртуальной машины Qualys имеет роль читателя или выше. Если роль — Читатель, убедитесь, что для учетной записи включен доступ по API. Роль аудитора не поддерживается для доступа к API. Дополнительные сведения см. в документе Api обнаружения узлов Qualys vm и user role Comparison .
Инструкции по настройке:
Подключение Службы управления уязвимостями Qualys к Microsoft Sentinel
ПРИМЕЧАНИЕ. Чтобы собрать данные для обнаружения на основе узла, разверните столбец DetectionList в таблице.
Для сбора данных с виртуальной машины Qualys необходимо предоставить следующие ресурсы.
Учетные данные API Для сбора данных с виртуальной машины Qualys вам потребуются учетные данные API Qualys, включая имя пользователя и пароль.
URL-адрес сервера API Для сбора данных с виртуальной машины Qualys вам потребуется URL-адрес сервера API Qualys, относящийся к вашему региону. Точный URL-адрес сервера API для вашего региона можно найти здесь.
- Имя пользователя API Qualys: (введите UserName)
- Пароль API Qualys: (введите пароль)
- URL-адрес сервера API Qualys: (введите URL-адрес сервера API)
- Ограничение усечения Настройте максимальное количество записей узла для получения на вызов API (диапазон от 20 до 5000). Более высокие значения могут повысить производительность, но повлиять на время отклика API.
- Включение и отключение подключения
Radiflow iSID через AMA
Поддерживается:Radiflow
iSID обеспечивает мониторинг изменений в топологии и поведении распределенных сетей ICS, используя несколько пакетов безопасности, каждый из которых предоставляет уникальные возможности, относящиеся к определенному типу сетевой активности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RadiflowEvent |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом [RadiflowEvent], которая развертывается вместе с решением Microsoft Sentinel.
1. Выполните действия по настройке соединителя данных.
Шаг A. Настройка общего формата событий (CEF) с помощью соединителя данных AMA
Примечание. Журналы CEF собираются только из агентов Linux
Перейдите к Microsoft Sentinel рабочей области ---> конфигурации --- колонке> Соединитель данных.
Найдите соединитель данных "Общий формат событий (CEF) через AMA" и откройте его.
Проверьте, нет ли существующего DCR, настроенного для сбора необходимых средств журналов, см. в статье Создание нового DCR (правило сбора данных).
Примечание. Рекомендуется установить минимальную версию агента AMA версии 1.27 . Дополнительные сведения и убедитесь, что нет дубликатов DCR, так как это может привести к дупликату журнала.
Выполните команду, указанную на странице соединителя данных CEF через AMA, чтобы настроить сборщик CEF на компьютере.
Шаг Б. Настройка iSID для отправки журналов с помощью CEF
Настройка пересылки журналов с помощью CEF:
Перейдите в раздел Системные уведомления в меню Конфигурация.
В разделе Системный журнал выберите +Добавить.
В диалоговом окне Новый сервер системного журнала укажите имя, IP-адрес удаленного сервера, порт, транспорт и выберите Формат — CEF.
Нажмите кнопку Применить, чтобы выйти из диалогового окна Добавление системного журнала.
Шаг В. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на вашем компьютере есть Python, используя следующую команду: python --version
На компьютере должны быть повышенные разрешения (sudo)
- Выполните следующую команду, чтобы проверить подключение:: <значение переменной, указанное во время установки>
**2. Защита компьютера **
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
Отчеты об управлении уязвимостями платформы Rapid7 Insight (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных отчетов о виртуальных машинах Rapid7 Insight предоставляет возможность приема отчетов сканирования и данных об уязвимостях в Microsoft Sentinel с помощью REST API с платформы Rapid7 Insight (управляемая в облаке). Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Нет | Нет |
NexposeInsightVMCloud_vulnerabilities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные REST API. Для REST API требуется InsightVMAPIKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API аналитики виртуальной машины для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средств синтаксического анализа на основе функции Kusto для работы в соответствии с ожидаемыми значениями InsightVMAssets и InsightVMVulnerabilities, развернутыми с помощью решения Microsoft Sentinel.
Шаг 1. Действия по настройке облака виртуальных машин Аналитики
Следуйте инструкциям, чтобы получить учетные данные.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных рабочей области у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных отчетов об управлении уязвимостями Rapid7 Insight с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите InsightVMAPIKey, выберите InsightVMCloudRegion и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных отчета об управлении уязвимостями Rapid7 Insight с помощью Функции Azure (Развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceId LogAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Отчеты об управлении уязвимостями платформы Rapid7 Insight (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных отчетов о виртуальных машинах Rapid7 Insight предоставляет возможность приема отчетов сканирования и данных об уязвимостях в Microsoft Sentinel с помощью REST API с платформы Rapid7 Insight (управляемая в облаке). Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Rapid7InsightVMCloudAssets |
Да | Да |
Rapid7InsightVMCloudVulnerabilities |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные REST API. Для REST API требуется InsightVMAPIKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
Следуйте инструкциям, чтобы настроить соединитель Rapid7 InsightVM.
Примечание. Этот соединитель данных зависит от средств синтаксического анализа, основанных на функции Kusto, для работы в соответствии с ожидаемыми значениями InsightVMAssets и InsightVMVulnerabilities, развернутыми с помощью решения Microsoft Sentinel.
1. Шаги по настройке облака виртуальной машины Rapid7 Insight
Следуйте инструкциям, чтобы получить учетные данные.
- В Rapid7 InsightVM создайте ключ API.
- Запишите регион и ключ API.
- Регион: (us, eu и т. д.)
- Ключ API: (ключ API)
2. Подключение
Включите соединитель виртуальной машины Rapid7 Insight.
- Включение и отключение подключения
События Red Sift (отправка CCF)
Поддерживается:Red Sift
Соединитель Red Sift предоставляет возможность приема событий проверки подлинности Red Sift и отправки по электронной почте событий судебной экспертизы в Microsoft Sentinel с помощью модели отправки CCF с DCE+DCR.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RedSiftAuth_CL |
Нет | Нет |
RedSiftEmailForensics_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Разверните DCE, DCR, настраиваемую таблицу и Entra регистрации приложения, используемые для учетных данных клиента OAuth.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Настройка веб-перехватчика Red Sift
Используйте следующие параметры, чтобы настроить Red Sift для отправки событий в Microsoft Sentinel. Используйте соответствующее имя потока для каждого типа события.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя события проверки подлинности Stream: <значение переменной, указанное во время установки>
- Email события криминалистики Stream Имя: <значение переменной, указанное во время установки>
RsA ID Plus Администратор Logs Connector
Поддерживается группойподдержки RSA
Соединитель RSA ID Plus AdminLogs предоставляет возможность приема событий аудита консоли облачных Администратор в Microsoft Sentinel с помощью API облачных Администратор.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Проверка подлинности RSA ID plus API. Для доступа к API Администратор требуется допустимый токен JWT в кодировке Base64URL, подписанный ключом API устаревшего администрирования клиента.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует платформу соединителя без кода (CCF) для подключения к API-интерфейсам RSA ID Plus Cloud Администратор для извлечения журналов в Microsoft Sentinel.
Шаг 1. Создание устаревшего клиента API Администратор в консоли cloud Администратор.
Выполните действия, описанные на этой странице.
ШАГ 2 . Создайте токен JWT в кодировке Base64URL.
Выполните действия, описанные на этой странице под заголовком "Устаревший API администрирования".
ШАГ 3. Настройте API облачной Администратор, чтобы начать прием журналов событий Администратор в Microsoft Sentinel.
Укажите следующие обязательные значения:
- URL-адрес API Администратор: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
- Токен JWT: (введите токен JWT)
ШАГ 4 . Нажмите кнопку Подключить
Убедитесь, что все указанные выше поля заполнены правильно. Нажмите кнопку Подключить, чтобы запустить соединитель.
- Включение и отключение подключения
Соединитель данных Rubrik Security Cloud (с помощью Функции Azure)
Поддерживается:Rubrik
Соединитель данных Rubrik Security Cloud позволяет командам по обеспечению безопасности интегрировать аналитические сведения из служб отслеживания данных Rubrik в Microsoft Sentinel. Аналитические сведения включают выявление аномального поведения файловой системы, связанного с программами-шантажистом и массовым удалением, оценку радиуса взрыва атаки с помощью программ-шантажистов, а также операторов конфиденциальных данных для определения приоритетов и более быстрого расследования потенциальных инцидентов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Да | Да |
Rubrik_Ransomware_Data_CL |
Да | Да |
Rubrik_ThreatHunt_Data_CL |
Да | Да |
Rubrik_Events_Data_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к веб-перехватчику Rubrik, который отправляет свои журналы в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Rubrik Microsoft Sentinel должны быть доступны идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Rubrik.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения: Имя функции Идентификатор рабочей области AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Rubrik Microsoft Sentinel с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, RubrikXXXXX).
e. Выберите среду выполнения: Выберите Python 3.8 или более поздней версии.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате: https://< CustomerId.ods.opinsights.azure.us>.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Шаги после развертывания
1) Получение конечной точки приложения-функции
- Перейдите на страницу Azure обзор функции и перейдите на вкладку "Функции".
- Щелкните функцию RubrikHttpStarter.
- Перейдите по адресу GetFunctionurl и скопируйте URL-адрес функции.
2) Добавьте веб-перехватчик в RubrikSecurityCloud для отправки данных в Microsoft Sentinel.
Следуйте инструкциям по добавлению веб-перехватчика в руководство пользователя Rubrik, чтобы начать получать сведения о событии.
- Выберите Microsoft Sentinel в качестве поставщика веб-перехватчиков.
- Введите нужное имя веб-перехватчика.
- Введите часть URL-адреса из скопированного function-url-адреса в качестве конечной точки URL-адреса веб-перехватчика и замените {functionname} на "RubrikAnomalyOrchestrator" для решения Rubrik Microsoft Sentinel
- Выберите EventType как Аномалия.
- Выберите следующие уровни серьезности: Критический, Предупреждение, Информационный
- При необходимости выберите несколько типов журналов при запуске "RubrikEventsOrchestrator"
- Повторите те же действия, чтобы добавить веб-перехватчики для анализа обнаружения аномалий, охоты на угрозы и других событий.
ПРИМЕЧАНИЕ. При добавлении веб-перехватчиков для анализа обнаружения аномалий, охоты на угрозы и других событий замените {functionname} на "RubrikRansomwareOrchestrator", RubrikThreatHuntOrchestrator" и "RubrikEventsOrchestrator" соответственно в скопированной function-url.
Теперь мы закончили работу с конфигурацией rubrik Webhook. Как только события веб-перехватчика активируются, вы сможете просмотреть из rubrik соответствующую таблицу рабочей области LogAnalytics с именем "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" и "Rubrik_Events_Data_CL".
Безопасность SaaS
Поддерживается:Valence Security
Подключает платформу безопасности SaaS Valence Azure Log Analytics с помощью интерфейса REST API.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ValenceAlert_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Шаг 1. Ознакомьтесь с подробной документацией
Процесс установки подробно описан в база знаний Valence Security. Чтобы понять установку и отладку интеграции, пользователь должен ознакомиться с этой документацией.
Шаг 2. Получение учетных данных для доступа к рабочей области
Первым шагом установки является получение идентификатора рабочей области и первичного ключа с платформы Microsoft Sentinel. Скопируйте приведенные ниже значения и сохраните их для настройки интеграции с сервером пересылки журналов API.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Шаг 3. Настройка интеграции Sentinel на платформе Valence Security
Администратор платформы безопасности Valence перейдите на экран конфигурации, нажмите кнопку Подключить в карта интеграции SIEM и выберите Microsoft Sentinel. Вставьте значения из предыдущего шага и нажмите кнопку Подключить. Valence проверит подключение, чтобы при сообщении об успешном выполнении подключение работало.
Журналы аудита Salesforce (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных журналов аудита Salesforce предоставляет возможность принимать административные изменения и изменения конфигурации из организации Salesforce в Microsoft Sentinel через REST API. Соединитель позволяет принимать события журнала аудита ивхода установки в Microsoft Sentinel, которые отслеживают изменения, внесенные в конфигурацию вашей организации, помогая обеспечить видимость безопасности и соответствия требованиям.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SalesforceAuditTrail |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API Salesforce Service Cloud. Требуется доступ к API Salesforce Service Cloud через подключенное приложение.
Инструкции по настройке:
Подключение Salesforce к Microsoft Sentinel
Выполните инструкции Создание подключенного приложения в Salesforce для OAuth и настройка подключенного приложения для потока учетных данных клиента OAuth 2.0 , чтобы создать подключенное приложение с доступом к ОБЛАЧНОму API службы Salesforce. С помощью этих инструкций вы должны получить ключ потребителя и секрет потребителя. Для параметра Имя домена Salesforce перейдите к настройке, введите Мой домен в поле Быстрый поиск и выберите Мой домен, чтобы просмотреть сведения о домене. Обязательно введите доменное имя без косой черты (например, https://your-domain.my.salesforce.com). Заполните приведенную ниже форму с этой информацией.
- Сетка соединителей данных (настройка на портале)
Соединитель мониторинга событий SalesForce Real-Time (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель мониторинга событий Salesforce Real-Time (RTEM) предоставляет возможность приема сведений о событиях Salesforce в реальном времени с помощью объекта для хранилища событий в Microsoft Sentinel через REST API. Соединитель позволяет просматривать события в организации на ускоренной основе, получать данные о событиях в режиме реального времени для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SalesForceRealTimeEventMonitoring_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к API мониторинга событий Salesforce. Требуется доступ к API мониторинга событий Salesforce через подключенное приложение.
Инструкции по настройке:
Подключитесь к службе "Мониторинг событий Salesforce", чтобы начать сбор журналов мониторинга событий в режиме реального времени в Microsoft Sentinel
Следуйте инструкциям по созданию подключенного приложения в Salesforce для OAuth и настройке подключенного приложения для потока учетных данных клиента OAuth 2.0 , чтобы создать подключенное приложение с доступом к API мониторинга событий Salesforce. С помощью этих инструкций вы должны получить ключ потребителя и секрет потребителя. Для параметра Имя домена Salesforce перейдите к настройке, введите Мой домен в поле Быстрый поиск и выберите Мой домен, чтобы просмотреть сведения о домене. Обязательно введите доменное имя без косой черты (например, https://your-domain.my.salesforce.com). Заполните приведенную ниже форму с этой информацией.
Примечание. Требуемая подписка на надстройку. Для работы этого соединителя ваша учетная запись Salesforce должна включать подписки salesforce Shield или надстройки для мониторинга событий Salesforce.
- Сетка соединителей данных (настройка на портале)
Salesforce Service Cloud (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений об операционных событиях Salesforce в Microsoft Sentinel с помощью REST API. Соединитель позволяет просматривать события в организации на ускоренной основе, получать файлы журнала событий с почасовой приращением для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SalesforceServiceCloudV3_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к API Salesforce Service Cloud. Требуется доступ к API Salesforce Service Cloud через подключенное приложение.
Инструкции по настройке:
Подключитесь к API Salesforce Service Cloud, чтобы начать сбор журналов событий в Microsoft Sentinel
Выполните инструкции Создание подключенного приложения в Salesforce для OAuth и настройка подключенного приложения для потока учетных данных клиента OAuth 2.0 , чтобы создать подключенное приложение с доступом к ОБЛАЧНОму API службы Salesforce. С помощью этих инструкций вы должны получить ключ потребителя и секрет потребителя. Для параметра Имя домена Salesforce перейдите к настройке, введите Мой домен в поле Быстрый поиск и выберите Мой домен, чтобы просмотреть сведения о домене. Обязательно введите доменное имя без косой черты (например, https://your-domain.my.salesforce.com). Заполните приведенную ниже форму с этой информацией.
Примечание. Примечание. Решение версии 3.2.0 и более поздних версий использует таблицу SalesforceServiceCloudV3_CL. Синтаксический анализатор был обновлен соответствующим образом.
- Сетка соединителей данных (настройка на портале)
Samsung Knox Asset Intelligence
Поддерживается:Samsung Electronics Co., Ltd.
Samsung Knox Asset Intelligence Data Connector позволяет централизовать события и журналы безопасности мобильных устройств, чтобы просматривать настраиваемые аналитические сведения с помощью шаблона книги и выявлять инциденты на основе шаблонов правил аналитики.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Samsung_Knox_Audit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Entra приложение. Приложение Entra должно быть зарегистрировано и подготовлено с ролью "Издатель метрик Майкрософт" и настроено с помощью сертификата или секрета клиента в качестве учетных данных для безопасной передачи данных. Дополнительные сведения о создании, регистрации и настройке учетных данных Entra см. в руководстве по приему журналов.
Инструкции по настройке:
Этот соединитель данных использует API приема журналов Майкрософт для отправки событий безопасности в Microsoft Sentinel из решения Samsung Knox Asset Intelligence (KAI).
ШАГ 1. Создание и регистрация приложения Entra
Примечание. Этот соединитель данных может поддерживать проверку подлинности на основе сертификатов или секретов клиента. Для проверки подлинности на основе сертификатов можно скачать сертификат с подписью ЦС Samsung (открытый ключ) на портале документации KAI. Для проверки подлинности на основе секрета клиента секрет можно создать во время регистрации приложения Entra. Обязательно скопируйте значение секрета клиента, как только оно будет создано.
ВАЖНО: Сохраните значения идентификатора клиента (каталога) и идентификатора клиента (приложения). Если включена проверка подлинности на основе секрета клиента, сохраните секрет клиента (значение секрета), связанное с приложением Entra.
ШАГ 2. Автоматизация развертывания этого соединителя данных с помощью приведенного ниже шаблона Azure Resource Manager (ARM)
ВАЖНО: Перед развертыванием соединителя данных скопируйте приведенное ниже имя рабочей области, связанное с экземпляром Microsoft Sentinel (также с экземпляром Log Analytics).
- Имя рабочей области: <значение переменной, указанное во время установки>
Нажмите кнопку ниже, чтобы установить Решение Samsung Knox Intelligence.
aka.ms\n2. Укажите следующие обязательные поля: Имя рабочей области Log Analytics, Расположение рабочей области Log Analytics, Подписка рабочей области Log Analytics (идентификатор) и Группа ресурсов рабочей области Log Analytics.
ШАГ 3. Получение сведений о сборе данных Microsoft Sentinel
После развертывания шаблона ARM перейдите в раздел Правила https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrulesсбора данных ? и сохраните значения, связанные с неизменяемым идентификатором (DCR) и конечной точкой сбора данных (DCE).
ВАЖНО: Чтобы обеспечить сквозную интеграцию, для настройки на портале Samsung Knox Asset Intelligence (шаг 4) требуются сведения, связанные с Microsoft Sentinel DCE и DCR.
Убедитесь, что приложение Entra, созданное на шаге 1, имеет разрешения на использование DCR, созданного для отправки данных в DCE. Соответствующие разрешения см. в разделе /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-dcr.
ШАГ 4. Подключение к решению Samsung Knox Asset Intelligence для настройки Microsoft Sentinel отправки выберите События безопасности Knox в качестве оповещений
- Войдите на портал администрирования Аналитики активов Knox и перейдите в раздел Параметры панели мониторинга; он доступен в правом верхнем углу портала.
Примечание. Убедитесь, что пользователь входа имеет доступ к разрешениям "Безопасность" и "Управление представлением панели мониторинга и сбором данных".
Перейдите на вкладку Безопасность, чтобы просмотреть параметры для Microsoft Sentinel интеграции и журналов безопасности Knox.
На странице Интеграция с операциями безопасности установите переключатель "Включить интеграцию Microsoft Sentinel" и введите соответствующие значения в обязательные поля.
А. В зависимости от используемого метода проверки подлинности обратитесь к сведениям, сохраненным на шаге 1 при регистрации приложения Entra.
Б. Сведения Microsoft Sentinel DCE и DCR см. в сведениях, сохраненных на шаге 3.
Щелкните "Проверить подключение" и убедитесь, что подключение прошло успешно.
Перед сохранением настройте журналы безопасности Knox, выбрав Основная или Расширенная конфигурация (по умолчанию: Essential).
Чтобы завершить интеграцию Microsoft Sentinel, нажмите кнопку "Сохранить".
SAP BTP
Поддерживается корпорациейМайкрософт
Sap Business Technology Platform (SAP BTP) объединяет управление данными, аналитику, искусственный интеллект, разработку приложений, автоматизацию и интеграцию в единой среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPBTPAuditLog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.
Инструкции по настройке:
Шаг 1. Шаги по настройке ДЛЯ API получения аудита SAP BTP
Выполните действия, предоставленные SAP , в разделе API получения журнала аудита для глобальных учетных записей в облачной среде Foundry. Запишите URL-адрес (URL-адрес API получения аудита), uaa.url (url-адрес учетной записи пользователя и сервера проверки подлинности) и связанный с ним uaa.clientid.
ПРИМЕЧАНИЕ: Вы можете массово подключить вложенные учетные записи BTP с помощью предоставленных средств.
Подключение событий из SAP BTP к Microsoft Sentinel
Подключение с использованием учетных данных клиента OAuth
Вложенные учетные записи
Каждая строка представляет подключенную подсчетную учетную запись.
- Сетка соединителей данных (настройка на портале)
SAP Enterprise Threat Detection, cloud edition
Поддерживается:SAP
Соединитель данных SAP Enterprise Threat Detection, cloud edition (ETD) позволяет принимать оповещения системы безопасности из ETD в Microsoft Sentinel, поддерживая перекрестную корреляцию, оповещения и поиск угроз.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPETDAlerts_CL |
Да | Да |
SAPETDInvestigations_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Идентификатор клиента и секрет клиента для API извлечения ETD: включение доступа к API в ETD.
Инструкции по настройке:
Шаг 1. Шаги по настройке ДЛЯ API получения аудита SAP ETD
Выполните действия, предоставляемые SAP , см. документацию по ETD. Запишите URL-адрес (URL-адрес API получения аудита), uaa.url (url-адрес учетной записи пользователя и сервера проверки подлинности) и связанный с ним uaa.clientid.
ПРИМЕЧАНИЕ: Вы можете подключить одну или несколько подсчетных учетных записей ETD, выполнив действия, предоставляемые SAP , см. документацию по ETD. Добавьте подключение для каждой вложенной учетной записи.
СОВЕТ: Для получения дополнительных сведений используйте серию общих блогов .
Подключение событий из SAP ETD к Microsoft Sentinel
Подключение с использованием учетных данных клиента OAuth
Учетные записи ETD
Каждая строка представляет подключенную учетную запись ETD.
- Сетка соединителей данных (настройка на портале)
SAP LogServ (RISE), частный выпуск S/4HANA Cloud
Поддерживается:SAP
SAP LogServ — это служба SAP Enterprise Облачные службы (ECS), предназначенная для сбора, хранения, пересылки и доступа к журналам. LogServ централизует журналы из всех систем, приложений и служб ECS, используемых зарегистрированным клиентом.
Основные функции:
Сбор журналов практически в реальном времени: с возможностью интеграции с Microsoft Sentinel в качестве решения SIEM.
LogServ дополняет существующий мониторинг угроз и обнаружение угроз на уровне приложений SAP в Microsoft Sentinel с типами журналов, принадлежащими SAP ECS в качестве системного поставщика. Сюда входят такие журналы, как журнал аудита безопасности SAP (AS ABAP), база данных HANA, AS JAVA, ICM, веб-диспетчер SAP, облачный соединитель SAP, ОС, шлюз SAP, сторонняя база данных, сеть, DNS, прокси-сервер, брандмауэр
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPLogServ_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Мы создадим ресурсы правила сбора данных (DCR) и конечной точки сбора данных (DCE). Мы также создадим Microsoft Entra регистрации приложения и назначим ему необходимые разрешения.
Автоматическое развертывание ресурсов Azure При нажатии кнопки "Развернуть ресурсы принудительного соединителя" будет запущено создание ресурсов DCR и DCE. Затем он создаст Microsoft Entra регистрации приложения с секретом клиента и предоставит разрешения на DCR. Эта настройка позволяет безопасно отправлять данные в DCR с помощью учетных данных клиента OAuth версии 2.
2. Ведение сведений о конечной точке сбора данных и сведений о проверке подлинности в SAP LogServ
Передайте URL-адрес конечной точки сбора данных и сведения о проверке подлинности администратору SAP LogServ, чтобы настроить SAP LogServ для отправки данных в конечную точку сбора данных.
Дополнительные сведения см. в этой серии блогов.
- Используйте это значение для настройки в качестве идентификатора клиента в учетных данных LogIngestionAPI.: <значение переменной, указанное во время установки>
- идентификатор приложения Entra: <значение переменной, указанное во время установки.>
- Entra секрет приложения: <значение переменной, указанное во время установки.>
- Используйте это значение для настройки параметра LogsIngestionURL при развертывании переменной IFlow.: <, указанной во время установки.>
- Неизменяемый идентификатор DCR: <значение переменной, указанное во время установки>
SAP S/4HANA Cloud Public Edition
Поддерживается:SAP
Соединитель данных SAP S/4HANA Cloud Public Edition (GROW с SAP) позволяет принимать журнал аудита безопасности SAP в решение Microsoft Sentinel для SAP, поддерживая перекрестную корреляцию, оповещения и охоту на угрозы. Ищете альтернативные механизмы проверки подлинности? См. здесь.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.
- Microsoft Sentinel для пакета содержимого SAP (более 60 правил аналитики, книг, средств синтаксического анализа и т. д.) — развертывание из Microsoft Sentinel концентратора содержимого.
Инструкции по настройке:
Шаг 1. Шаги по настройке sap S/4HANA Cloud Public Edition
Чтобы подключиться к SAP S/4HANA Cloud Public Edition, вам потребуется:
Настройка механизма общения для сценария общения SAP_COM_0750
URL-адрес API клиента SAP S/4HANA Cloud Public Edition
Допустимый пользователь связи (имя пользователя и пароль) для облачной системы SAP S/4HANA
Соответствующие разрешения для доступа к данным журнала аудита через службы OData
ПРИМЕЧАНИЕ: Этот соединитель поддерживает обычную проверку подлинности. Ищете альтернативные механизмы проверки подлинности? См. здесь
Подключение событий из общедоступной версии SAP S/4HANA Cloud к решению Microsoft Sentinel для SAP
Подключение с помощью обычной проверки подлинности
Подключения S/4HANA Cloud Public Edition
Каждая строка представляет подключенную систему S/4HANA Cloud Public Edition.
- Сетка соединителей данных (настройка на портале)
Решение SecurityBridge для SAP
Поддерживается:SecurityBridge
SecurityBridge повышает безопасность SAP за счет простой интеграции с Microsoft Sentinel, обеспечивая мониторинг и обнаружение угроз в средах SAP в режиме реального времени. Эта интеграция позволяет центрам управления безопасностью (SOC) консолидировать события безопасности SAP с другими организационными данными, обеспечивая единое представление ландшафта угроз. Используя аналитику на основе ИИ и Security Copilot Майкрософт, SecurityBridge определяет сложные шаблоны атак и уязвимости в приложениях SAP, включая сканирование кода ABAP и оценку конфигурации. Решение поддерживает масштабируемые развертывания в сложных ландшафтах SAP, будь то локальные, облачные или гибридные среды. Преодолевая разрыв между командами безопасности ИТ и SAP, SecurityBridge позволяет организациям упреждающе обнаруживать, исследовать угрозы и реагировать на них, повышая общую безопасность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Мы создадим ресурсы правила сбора данных (DCR) и конечной точки сбора данных (DCE). Мы также создадим Microsoft Entra регистрации приложения и назначим ему необходимые разрешения.
Автоматическое развертывание ресурсов Azure При нажатии кнопки "Развернуть ресурсы принудительного соединителя" будет запущено создание ресурсов DCR и DCE. Затем он создаст Microsoft Entra регистрации приложения с секретом клиента и предоставит разрешения на DCR. Эта настройка позволяет безопасно отправлять данные в DCR с помощью учетных данных клиента OAuth версии 2.
2. Обслуживание сведений о конечной точке сбора данных и сведений о проверке подлинности в SecurityBridge
Передайте URL-адрес конечной точки сбора данных и сведения о проверке подлинности администратору SecurityBridge, чтобы настроить Securitybridge для отправки данных в конечную точку сбора данных.
Дополнительные сведения см. на странице базы знаний https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface
- Используйте это значение для настройки в качестве идентификатора клиента в учетных данных LogIngestionAPI.: <значение переменной, указанное во время установки>
- идентификатор приложения Entra: <значение переменной, указанное во время установки.>
- Entra секрет приложения: <значение переменной, указанное во время установки.>
- Используйте это значение для настройки параметра LogsIngestionURL при развертывании переменной IFlow.: <, указанной во время установки.>
- Неизменяемый идентификатор DCR: <значение переменной, указанное во время установки>
- Sentinel идентификатор sap Stream: <переменное значение, указанное во время установки>
- идентификатор SecurityBridge_CL Stream: <значение переменной, указанное во время установки>
Журналы молнии Semperis
Поддерживается:Semperis
Соединитель Semperis Lightning использует Функции Azure для приема данных безопасности удостоверений Semperis Lightning в Microsoft Sentinel. Соединитель развертывает функцию Azure и собирает данные в пользовательские таблицы Log Analytics для исследования и охоты на угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LightningTier0Nodes_CL |
Нет | Нет |
LightningAttackPaths_CL |
Нет | Нет |
LightningIOEResults_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Молнии Semperis. Для проверки подлинности соединителя в Semperis Lightning требуется ключ API Молнии Semperis и выбранная зона (na или eu).
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к Semperis Lightning и извлечения данных в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Перед развертыванием соединителя убедитесь, что рабочая область добавлена в Microsoft Sentinel.
ШАГ 1. Настройка доступа для Semperis Lightning
- Войдите в клиент Semperis Lightning.
- Создайте или получите действительный ключ API Semperis для доступа к соединителю.
- Подтвердите значение зоны Semperis (na для Северная Америка или eu для Европы) для использования во время развертывания.
ШАГ 2. Развертывание соединителя "Semperis Lightning Logs" и связанной функции Azure
Нажмите кнопку Развернуть в Azure ниже.
ШАГ 3. Установка параметров соединителя
- Выберите предпочтительную подписку и существующую группу ресурсов.
- Введите существующий идентификатор ресурса рабочей области Log Analytics , принадлежащий группе ресурсов.
- Нажмите кнопку Далее.
- Введите ключ API Semperis и выберите зону Semperis.
- При необходимости настройте расписание соединителя (по умолчанию: каждые 1 час).
- Просмотрите параметры и нажмите кнопку Создать.
SentinelOne (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных SentinelOne позволяет принимать журналы из API SentinelOne в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API SentinelOne для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SentinelOneActivities_CL |
Да | Да |
SentinelOneAgents_CL |
Да | Да |
SentinelOneGroups_CL |
Да | Да |
SentinelOneThreats_CL |
Да | Да |
SentinelOneAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Действия по настройке ДЛЯ API SentinelOne Следуйте инструкциям, чтобы получить учетные данные. Вы также можете следовать руководству , чтобы создать ключ API.
Получение URL-адреса управления SentinelOne 1.1. Войдите в SentinelOne [консоль управления] с Администратор учетными данными пользователя 1.2. В [консоли управления] скопируйте выше ссылку НА URL-адрес без url-пути.
Получение токена API 2.1. Войдите в SentinelOne [консоль управления] с Администратор учетными данными пользователя 2.2. В [консоли управления] щелкните [Параметры] 2.3. В представлении [Параметры] щелкните [ПОЛЬЗОВАТЕЛИ]. 2.4. На странице [ПОЛЬЗОВАТЕЛИ] щелкните [Пользователи службы] -> [Действия] -> [Создать пользователя службы]. 2.5. Выберите [Дата окончания срока действия] и [область] (по сайтам) и щелкните [Создать пользователя]. 2.6. После создания [пользователя службы] скопируйте [токен API] со страницы и нажмите кнопку [Сохранить]
-
URL-адрес управления SentinelOne: (
https://example.sentinelone.net/) - Токен API: (токен API)
- Включение и отключение подключения
Seraphic Web Security
Поддерживается:Seraphic Security
Соединитель данных Seraphic Web Security предоставляет возможность приема событий и оповещений Seraphic Web Security в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SeraphicWebSecurity_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Серафический ключ API: ключ API для Microsoft Sentinel подключен к клиенту Seraphic Web Security. Чтобы получить этот ключ API для клиента, перейдите на страницу Интеграции в консоли Seraphic.
Инструкции по настройке:
Подключение Seraphic Web Security
Вставьте имя интеграции, URL-адрес интеграции Seraphic и имя рабочей области для Microsoft Sentinel:
Консоль Администратор Silverfort
Поддерживается:Silverfort
Решение соединителя silverfort ITDR Администратор Console позволяет принимать события Silverfort и выполнять вход в Microsoft Sentinel. Silverfort предоставляет события на основе системного журнала и ведение журнала с помощью общего формата событий (CEF). Перенаправляя данные CEF консоли Silverfort ITDR Администратор в Microsoft Sentinel, вы можете воспользоваться преимуществами поиска Sentinels & корреляции, оповещения и обогащения аналитики угроз в данных Silverfort. Обратитесь к Silverfort или обратитесь к документации по Silverfort для получения дополнительных сведений.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
1. Linux конфигурации агента syslog
Установите и настройте агент Linux для сбора сообщений системного журнала CEF и их пересылки в Microsoft Sentinel.
Обратите внимание, что данные из всех регионов будут храниться в выбранной рабочей области.
1.1. Выбор или создание Linux компьютера
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel этот компьютер может находиться в локальной среде, Azure или других облаках.
1.2. Установка сборщика CEF на Linux компьютере
Установите microsoft Monitoring Agent на Linux компьютере и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF через порт TCP 514.
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version.
На компьютере должны быть повышенные разрешения (sudo).
- Выполните следующую команду, чтобы установить и применить значение переменной CEF сборщика:: <, указанное во время установки.>
2. Пересылка журналов общего формата событий (CEF) в агент syslog
Настройте решение для обеспечения безопасности для отправки сообщений системного журнала в формате CEF на прокси-компьютер. Убедитесь, что вы отправили журналы на порт 514 TCP по IP-адресу компьютера.
3. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
На компьютере должны быть повышенные разрешения (sudo)
- Выполните следующую команду, чтобы проверить подключение:: <значение переменной, указанное во время установки>
**4. Защита компьютера **
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
SlackAudit (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных SlackAudit предоставляет возможность приема журналов аудита Slack в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SlackAuditV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- UserName, Ключ API SlackAudit & тип действия. Чтобы создать маркер доступа, создайте приложение в Slack, добавьте необходимые области и настройте URL-адрес перенаправления. Подробные инструкции по созданию маркера доступа, имени пользователя и ограничения имени действия см. по ссылке.
Инструкции по настройке:
**Подключение SlackAudit к Microsoft Sentinel
**
Чтобы принять данные из SlackAudit в Microsoft Sentinel, необходимо нажать кнопку Добавить домен ниже, а затем появится всплывающее окно, чтобы заполнить сведения, указать необходимые сведения и нажать кнопку Подключить. В сетке отображаются имена пользователей и действия.
- Сетка соединителей данных (настройка на портале)
Snowflake (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Snowflake предоставляет возможность приема журналов журнала входа Snowflake, журналов журнала запросов, журналов предоставления пользователями, журналов предоставления ролей, журналов журнала журнала загрузки, журналов обновления материализованного представления, журналов ролей, журналов таблиц, журналов метрик хранилища таблиц, журналов пользователей в Microsoft Sentinel с помощью API SQL Snowflake. Дополнительные сведения см. в документации по API SQL Snowflake .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SnowflakeLogin_CL |
Да | Да |
SnowflakeQuery_CL |
Да | Да |
SnowflakeUserGrant_CL |
Да | Да |
SnowflakeRoleGrant_CL |
Да | Да |
SnowflakeLoad_CL |
Да | Да |
SnowflakeMaterializedView_CL |
Да | Да |
SnowflakeRoles_CL |
Да | Да |
SnowflakeTables_CL |
Да | Да |
SnowflakeTableStorageMetrics_CL |
Да | Да |
SnowflakeUsers_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение Snowflake к Microsoft Sentinel
ПРИМЕЧАНИЕ. Чтобы данные были представлены в отдельных столбцах для каждого поля, выполните средство синтаксического анализа с помощью функции Snowflake()
Чтобы собрать данные из Snowflake, необходимо предоставить следующие ресурсы.
Идентификатор учетной записи Для сбора данных из Snowflake потребуется идентификатор учетной записи Snowflake.
Программный маркер доступа Для сбора данных из Snowflake вам потребуется маркер программного доступа Snowflake
Подробные инструкции по получению идентификатора учетной записи и программного маркера доступа см. в руководстве по соединителю.
- Сетка соединителей данных (настройка на портале)
Соединитель данных журналов аудита платформы SOC Prime
Поддерживается:SOC Prime
Соединитель данных soc Prime Audit Logs позволяет принимать журналы из API платформы SOC Prime в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API платформы SOC Prime для получения журналов аудита платформы SOC Prime и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SOCPrimeAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Действия по настройке ДЛЯ API платформы SOC Prime Следуйте инструкциям, чтобы получить учетные данные. Вы также можете следовать этому руководству , чтобы создать личный ключ API.
Получение ключа API
- Вход на платформу SOC Prime
- Щелкните значок [Учетная запись] —> [Параметры платформы] —> [API]
- Щелкните [Добавить новый ключ]
- В появившемся модальном интерфейсе присвойте ключу понятное имя, задайте дату окончания срока действия и API продукта, к которым ключ предоставляет доступ.
- Щелкните [Создать]
- Скопируйте ключ и сохраните его в безопасном месте. Вы не сможете просмотреть его снова, как только вы закроете этот модальный
- Основной ключ API SOC: (ключ API)
- Включение и отключение подключения
Соединитель данных Sonrai
Поддерживается:Н/Д
Используйте этот соединитель данных для интеграции с Sonrai Security и получения билетов Sonrai, отправляемых непосредственно в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Sonrai_Tickets_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Соединитель данных безопасности Sonrai
- Перейдите к панели мониторинга безопасности Sonrai.
- На левой нижней панели щелкните интеграции.
- Выберите Microsoft Sentinel в списке доступных интеграций.
- Заполните форму, используя приведенные ниже сведения.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Sophos Endpoint Protection (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos и оповещений Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по Sophos Central Администратор.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SophosEPEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API Sophos Endpoint Protection. Требуется доступ к API Sophos Endpoint Protection через субъект-службу.
Инструкции по настройке:
Подключитесь к API Sophos Endpoint Protection, чтобы начать сбор журналов событий и оповещений в Microsoft Sentinel
Следуйте инструкциям Sophos , чтобы создать субъект-службу с доступом к API Sophos. Ему потребуется роль "Только чтение субъекта-службы". С помощью этих инструкций вы должны получить идентификатор клиента, секрет клиента, идентификатор клиента и регион данных. Заполните форму этой информацией.
- Идентификатор клиента Sophos: (идентификатор клиента Sophos)
- Регион данных клиента Sophos: (eu01, eu02, us01, us02 или us03)
- Сетка соединителей данных (настройка на портале)
Symantec Integrated Cyber Defense Exchange
Поддерживается корпорациейМайкрософт
Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SymantecICDx_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Настройка и подключение Symantec ICDx
- На панели навигации ICDx щелкните Конфигурация.
- В верхней части экрана Конфигурация щелкните Серверы пересылки и рядом с Microsoft Sentinel (Log Analytics) нажмите кнопку Добавить.
- В открывавшемся окне Microsoft Sentinel (Log Analytics) щелкните Показать дополнительно. Дополнительные функции см. в документации.
- Убедитесь, что вы задали имя для сервера пересылки, а в разделе Azure Назначение задайте следующие обязательные поля:
- Идентификатор рабочей области. Вставьте идентификатор рабочей области на странице соединителя портала Microsoft Sentinel.
- Первичный ключ. Вставьте первичный ключ на странице соединителя портала Microsoft Sentinel.
- Пользовательское имя журнала. Введите пользовательское имя журнала в рабочей области Microsoft портал Azure Log Analytics, в которую вы будете пересылать события. Значение по умолчанию — SymantecICDx.
- Нажмите кнопку Сохранить, а затем, чтобы запустить сервер пересылки, перейдите в раздел Дополнительные параметры > и нажмите кнопку Пуск.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Соединитель интеграции Synqly
Поддерживается:Synqly
Соединитель Synqly предоставляет возможность отправки событий безопасности из интеграции Synqly в Microsoft Sentinel с помощью API приема журналов Azure. События автоматически нормализуются в таблицы ASIM (расширенная информационная модель безопасности) для использования с аналитикой Microsoft Sentinel, книгами и запросами охоты.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra ID: роль разработчика приложений (или выше) для создания регистраций приложений.
- Microsoft Azure: роль владельца или администратора доступа пользователей в группе ресурсов для развертывания DCR и назначения роли издателя метрик мониторинга.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель позволяет принимать события безопасности из интеграции Synqly с Microsoft Sentinel на основе принудительной отправки. События автоматически нормализуются в таблицах ASIM (расширенная информационная модель безопасности).
Развертывание ресурсов соединителя при нажатии кнопки "Развернуть" создается правило сбора данных (DCR), конечная точка сбора данных (DCE) и Entra приложение с необходимыми разрешениями для безопасной отправки данных в Microsoft Sentinel.
2. Предоставление дополнительных разрешений (на основе варианта использования)
Дополнительные роли могут потребоваться в зависимости от того, как вы планируете использовать Synqly с Microsoft Sentinel.
Соединитель приемника (только запись): дополнительные разрешения не требуются. Соединитель SIEM (чтение и запись): назначение участника Microsoft Sentinel роль приложения Entra с помощью пользовательского интерфейса Azure в рабочей области Log Analytics.
Подробные руководства по настройке см. в документации Synqly .
3. Отправка журналов в рабочую область
Укажите эти параметры для интеграции Synqly. Служба Synqly автоматически обрабатывает технические сведения о приеме данных, включая форматирование событий для одной из 10 поддерживаемых схем ASIM (Authentication, AuditEvent, DHCP, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession).
Важно! События с неподдерживаемыми типами схем автоматически удаляются Azure. Если ожидаемые данные не отображаются, проверьте у поставщика интеграции Synqly, что события отправляются с одним из поддерживаемых типов схем, перечисленных выше.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- имя Stream: <значение переменной, указанное во время установки.>
Системный журнал через AMA
Поддерживается корпорациейМайкрософт
Системный журнал — это протокол ведения журнала событий, который является общим для Linux. Приложения будут отправлять сообщения, которые могут храниться на локальном компьютере или доставляться сборщику системного журнала. При установке агента для Linux настраивается локальная управляющая программа Syslog для пересылки сообщений агенту. Затем агент отправляет сообщение в рабочую область.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Скомпрометированные учетные данные TacitRed
Поддерживается:Data443 Risk Mitigation, Inc.
Прием скомпрометированных учетных данных из TacitRed с помощью Common Connector Framework (CCF).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TacitRed_Findings_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Ключ API TacitRed: ключ API, хранящийся в Azure Key Vault или предоставленный во время развертывания.
Инструкции по настройке:
Подключение скомпрометированных учетных данных TacitRed
Чтобы включить соединитель TacitRed, укажите ключ API ниже и нажмите кнопку Подключить.
Для повышения безопасности можно включить интеграцию Key Vault для хранения и извлечения ключа API.
- Ключ API TacitRed( Введите ключ API TacitRed)
- Включение и отключение подключения
Talon Insights
Поддерживается:Talon Security
Соединитель журналов безопасности Talon позволяет легко подключать события Talon и журналы аудита к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Talon_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Обратите внимание на приведенные ниже значения и следуйте приведенным здесь инструкциям, чтобы подключить события безопасности Talon и журналы аудита к Microsoft Sentinel.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Push-соединитель Tanium CCF
Поддерживается:Tanium Inc.
Эти каналы данных Microsoft Sentinel книги и сборники схем, чтобы аналитики могли обогатить инциденты, визуализировать риски и работоспособности конечных точек, а также автоматизировать рабочие процессы исследования и реагирования. Дополнительные сведения о Tanium см. на странице https://www.tanium.com/contact-us/
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TaniumComplyCompliance_CL |
Нет | Нет |
TaniumComplyVulnerabilities_CL |
Нет | Нет |
TaniumDefenderHealth_CL |
Нет | Нет |
TaniumDiscoverUnmanagedAssets_CL |
Нет | Нет |
TaniumHighUptime_CL |
Нет | Нет |
TaniumPatchCoverageStatus_CL |
Нет | Нет |
TaniumPatchListApplicability_CL |
Нет | Нет |
TaniumPatchListCompliance_CL |
Нет | Нет |
TaniumSCCMClientHealth_CL |
Нет | Нет |
TaniumThreatResponse_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR).
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Этот соединитель позволяет серверу Tanium отправлять базовые данные инвентаризации непосредственно в Microsoft Sentinel через API приема Azure monitor.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" приведет к созданию таблицы Log Analytics и правилу сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные Tanium в DCR с помощью маркера Entra.
2. Настройка подключений Tanium
Используйте следующие параметры, чтобы настроить tanium Connections для отправки данных в рабочую область.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Журналы результатов соответствия Stream имя: <значение переменной, указанное во время установки>
- Имя журнала уязвимостей соответствия требованиям Stream:< переменное значение, указанное во время установки>
- Имя Stream журналов работоспособности Defender: <значение переменной, указанное во время установки>
- Обнаружение журналов работоспособности неуправляемых ресурсов Stream Имя: <значение переменной, указанное во время установки>
- Имя журнала высокой доступности Stream: <значение переменной, указанное во время установки>
- Журналы покрытия исправлений Stream имя: <переменное значение, указанное во время установки>
- Имя журнала применимости списка исправлений Stream:< значение переменной, указанное во время установки>
- Имя журнала соответствия списка исправлений Stream:< переменное значение, указанное во время установки>
- SCCM журналов работоспособности клиента Stream имя: <значение переменной, указанное во время установки>
- Оповещения об угрозах, журналы Stream имя: <значение переменной, указанное во время установки>
3. Создание подключения в Tanium
После успешного развертывания соединителя данных в Azure создайте необходимое подключение на сервере Tanium в модуле Connect. Дополнительные сведения о модуле Connect см. в справке Tanium.
- Скачайте файл импорта подключения.
- Замените заполнители параметрами, отображаемыми выше.
- На сервере Tanium откройте модуль Connect.
- Используйте функцию импорта для импорта новых подключений.
Соединитель данных Team Cymru Scout (с помощью Функции Azure)
Поддерживается командойCymru
Соединитель данных TeamCymruScout позволяет пользователям переносить данные об ip-адресе, домене и учетной записи Team Cymru Scout в Microsoft Sentinel для обогащения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Foundation_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Details_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Communications_CL |
Нет | Нет |
Cymru_Scout_IP_Data_PDNS_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Fingerprints_CL |
Нет | Нет |
Cymru_Scout_IP_Data_OpenPorts_CL |
Нет | Нет |
Cymru_Scout_IP_Data_x509_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_Details_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Нет | Нет |
Cymru_Scout_Account_Usage_Data_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешение на назначение роли зарегистрированным приложениям: требуется разрешение на назначение роли зарегистрированным приложениям в Microsoft Entra ID.
- Учетные данные и разрешения для команды Cymru Scout: требуются учетные данные учетной записи Cymru Scout (имя пользователя, пароль).
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Team Cymru Scout для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по созданию ключа API Cymru Scout команды
Следуйте этим инструкциям, чтобы создать ключ API Cymru Scout.
- Чтобы создать ключ API для использования в качестве альтернативной формы авторизации, ознакомьтесь с документом Ключи API .
Шаг 2. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных TeamCymruScout.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 3. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных TeamCymruScout. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных TeamCymruScout.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 4. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
ШАГ 5. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
ШАГ 6. Отправка csv-файла с помощью indictaors в списке отслеживания
Выполните действия, описанные в этом разделе, чтобы отправить csv-файл, содержащий индикаторы в списке отслеживания.
- В портал Azure перейдите к Microsoft Sentinel и выберите рабочую область.
- Перейдите к списку наблюдения в разделе Конфигурация на левой панели.
- Щелкните TeamCymruScoutDomainData и выберите Массовое обновление в списке обновления.
- Отправьте CSV-файлы с индикаторами домена в разделе Отправка входных данных файла и нажмите кнопку Далее: Просмотр и создание.
- После успешной проверки нажмите кнопку Обновить.
- Выполните те же действия, чтобы обновить список отслеживания TeamCymruScoutIPData для ip-индикаторов.
Ссылка на ссылку:Массовое обновление списка отслеживания
ШАГ 7. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure.
ВАЖНО: Перед развертыванием соединителя данных TeamCymruScout необходимо иметь в наличии идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных TeamCymruScout.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующую информацию: Location WorkspaceName Function Name TeamCymruScoutBaseURL AuthenticationType Password ApiKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevelvel
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных TeamCymruScout с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, CymruScoutXXXXX).
e. Выберите среду выполнения: Выберите Python 3.12 или более поздней версии.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра): CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES
После ввода всех параметров приложения нажмите кнопку Сохранить.
Подверженность тенебельным удостоверениям
Поддерживается:Tenable
Соединитель с возможностью раскрытия личных данных позволяет принимать в Microsoft Sentinel индикаторы экспозиции, индикаторы атак и журналы потоков. Различные рабочие книги и средства синтаксического анализа данных позволяют проще управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать реагирование на различные события, уязвимости и атаки.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Tenable_IE_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к конфигурации TenableIE: разрешения для настройки подсистемы оповещений системного журнала
Инструкции по настройке:
Этот соединитель данных зависит от afad_parser, основанных на функции Kusto, которая будет работать должным образом, которая развертывается с решением Microsoft Sentinel.
1. Настройка сервера системного журнала
Сначала потребуется сервер системного журнала Linux, на который TenableIE будет отправлять журналы. Обычно можно запустить rsyslog в Ubuntu. Затем этот сервер можно настроить по своему усмотрению, но рекомендуется выводить журналы TenableIE в отдельный файл.
Настройте rsyslog для приема журналов с IP-адреса TenableIE. Выберите один из указанных ниже вариантов.
Вариант 1. Использование директивы AllowedSender
Эта конфигурация ограничивает, какие узлы могут отправлять журналы на сервер системного журнала на уровне сети. Это более безопасно, так как отклоняет несанкционированные подключения перед их обработкой.
- Скачайте файл конфигурации: 80-tenable-allowedsender.conf
- Запустите в режиме sudo:
sudo -i - Задайте IP-адрес TenableIE:
export TENABLE_IE_IP={Enter your IP address} - Выполнение команд из скачаемого файла конфигурации
- Перезапустите rsyslog:
systemctl restart rsyslog
Вариант 2. Фильтрация журналов по исходному IP-адресу (для сред с несколькими источниками системного журнала)
Эта конфигурация принимает все входящие журналы, но обрабатывает только журналы с указанного IP-адреса TenableIE. Это особенно полезно, если у вас есть несколько серверов системного журнала или приложений, отправляющих журналы на один и тот же сервер syslog, и вы хотите выборочно обрабатывать только журналы TenableIE.
- Скачайте файл конфигурации: 80-tenable-filter.conf
- Запустите в режиме sudo:
sudo -i - Задайте IP-адрес TenableIE:
export TENABLE_IE_IP={Enter your IP address} - Выполнение команд из скачаемого файла конфигурации
- Перезапустите rsyslog:
systemctl restart rsyslog
2. Установка и подключение агента Майкрософт для Linux
Агент OMS получит события системного журнала TenableIE и опубликует их в Microsoft Sentinel :
Выберите место для установки агента:
Установка агента на виртуальной машине Azure Linux
Выберите компьютер, на котором будет установлен агент, и нажмите кнопку Подключить.
- Агент установки: <значение переменной, указанное во время установки>
Установка агента на компьютере, отличном от Azure Linux
Скачайте агент на соответствующий компьютер и следуйте инструкциям.
- Агент установки: <значение переменной, указанное во время установки>
3. Проверка журналов агентов на сервере Syslog
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
4. Настройка TenableIE для отправки журналов на сервер системного журнала
На портале TenableIE перейдите в раздел Система, Конфигурация , а затем — Системный журнал. Оттуда можно создать новое оповещение системного журнала для сервера Syslog.
После этого проверка, что журналы правильно собраны на сервере в отдельном файле (для этого можно использовать кнопку Проверить конфигурацию в конфигурации оповещений системного журнала в TenableIE). Если вы использовали шаблон быстрого запуска, сервер системного журнала по умолчанию будет прослушивать порт 514 в UDP и 1514 в TCP без TLS.
Примечание. Оба параметра конфигурации из шага 1 настраивают сервер системного журнала для прослушивания порта 514 для подключений UDP и TCP.
5. Настройка пользовательских журналов
Настройте агент для сбора журналов.
- В Microsoft Sentinel выберите Конфигурация —> Параметры —> Параметры рабочей области —> Пользовательские журналы.
- Щелкните Добавить пользовательский журнал.
- Отправьте пример файла системного журнала TenableIE.log с компьютера Linux, на котором запущен сервер Syslog, и нажмите кнопку Далее
- Установите для разделителя записей значение Создать строку, если дело еще не задано, и нажмите кнопку Далее.
- Выберите Linux и введите путь к файлу системного журнала, нажмите кнопку + затем нажмите кнопку Далее. Расположение файла по умолчанию — если
/var/log/TenableIE.logу вас есть Tenable версии <3.1.0, необходимо также добавить это расположение/var/log/AlsidForAD.logфайла Linux . - Задайте для поля Имязначение Tenable_IE_CL (Azure автоматически добавляет _CL в конце имени, должно быть только одно, убедитесь, что имя не Tenable_IE_CL_CL).
- Нажмите кнопку Далее, вы увидите резюме, а затем нажмите кнопку Создать.
6. Наслаждайтесь !
Теперь вы сможете получать журналы в таблице Tenable_IE_CL . Данные журналов можно анализировать с помощью функции afad_parser(), используемой всеми примерами запросов, книгами и шаблонами аналитики.
Управление уязвимостями (с помощью Функции Azure)
Поддерживается:Tenable
Соединитель данных TVM позволяет принимать данные об активах, уязвимостях, соответствии, ресурсах WAS и уязвимостях WAS в Microsoft Sentinel с помощью REST API TVM. Дополнительные сведения см. в документации по API . Соединитель предоставляет возможность получать данные, которые помогают анализировать потенциальные риски безопасности, получать аналитические сведения о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Tenable_VM_Asset_CL |
Да | Да |
Tenable_VM_Vuln_CL |
Да | Да |
Tenable_VM_Compliance_CL |
Да | Да |
Tenable_WAS_Asset_CL |
Да | Да |
Tenable_WAS_Vuln_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для доступа к REST API TenableAccessKey и TenableSecretKey требуются как учетные данные и разрешения REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Azure Устойчивые функции для подключения к API TenableVM для извлечения ресурсов, уязвимостей и соответствия (если они выбраны) через регулярный интервал в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа TenableVM для уязвимостей и средства синтаксического анализа TenableVM для ресурсов на основе функции Kusto, которая будет работать должным образом, которая развертывается с решением Microsoft Sentinel.
ШАГ 1. Шаги по настройке для TenableVM
Следуйте инструкциям, чтобы получить необходимые учетные данные API.
Шаг 2. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 3. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, — это строковое значение, необходимое для выполнения соединителя данных TenableVM. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных TenableVM.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 4. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
ШАГ 5. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанное приложение-функцию Azure.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных отчета об управлении уязвимостями TenableVM с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов, имя приложения-функцию и расположение.
Введите следующие сведения:
А. WorkspaceName — введите имя рабочей области log analytics.
Б. TenableAccessKey — введите ключ доступа для использования API Tenable.
c. TenableSecretKey — введите секретный ключ tenable для проверки подлинности.
d. AzureClientID — введите идентификатор клиента Azure.
e. AzureClientSecret — введите секрет клиента Azure.
f. TenantID — введите идентификатор клиента, полученный из описанных выше шагов.
ж. AzureEntraObjectId — введите идентификатор объекта Azure, полученный из описанных выше шагов.
з. LowestSeveritytoStore — самая низкая степень серьезности уязвимостей для хранения. Допустимые значения: Info, Low, Medium, High, Critical. Значение по умолчанию — Info.
и. ComplianceDataIngestion — выберите значение true, если вы хотите включить прием данных о соответствии с тенебельной виртуальной машины. Значение по умолчанию: false.
к. WASAssetDataIngestion — выберите значение true, если вы хотите включить прием данных WAS Asset с виртуальной машины Tenable. Значение по умолчанию: false.
л. WASVulnerabilityDataIngestion — выберите значение true, если вы хотите включить прием данных was Vulnerability с виртуальной машины Tenable. Значение по умолчанию: false.
L. LowestSeveritytoStoreWAS — самая низкая степень серьезности уязвимостей, сохраняемая для WAS. Допустимые значения: Info, Low, Medium, High, Critical. Значение по умолчанию — Info.
М. TenableExportScheduleInMinutes — запланируйте в минутах создание задания экспорта из виртуальной машины Tenable. Значение по умолчанию — 1440.
N. AssetTableName — введите имя таблицы, используемой для хранения журналов данных активов.
O. VulnTableName — введите имя таблицы, используемой для хранения журналов данных об уязвимостях.
P. ComplianceTableName — введите имя таблицы, используемой для хранения журналов данных соответствия.
Q. WASAssetTableName — введите имя таблицы, используемой для хранения журналов данных was asset.
R. WASVulnTableName — введите имя таблицы, используемой для хранения журналов данных об уязвимостях WAS.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных отчета об управлении уязвимостями TenableVM с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, TenableVMXXXXXX).
e. Выберите среду выполнения: Выберите Python 3.12.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
А. WorkspaceName — введите имя рабочей области log analytics.
Б. TenableAccessKey — введите ключ доступа для использования API Tenable.
c. TenableSecretKey — введите секретный ключ tenable для проверки подлинности.
d. AzureClientID — введите идентификатор клиента Azure.
e. AzureClientSecret — введите секрет клиента Azure.
f. TenantID — введите идентификатор клиента, полученный из описанных выше шагов.
ж. AzureEntraObjectId — введите идентификатор объекта Azure, полученный из описанных выше шагов.
з. LowestSeveritytoStore — самая низкая степень серьезности уязвимостей для хранения. Допустимые значения: Info, Low, Medium, High, Critical. Значение по умолчанию — Info.
и. ComplianceDataIngestion — выберите значение true, если вы хотите включить прием данных о соответствии с тенебельной виртуальной машины. Значение по умолчанию: false.
к. WASAssetDataIngestion — выберите значение true, если вы хотите включить прием данных WAS Asset с виртуальной машины Tenable. Значение по умолчанию: false.
л. WASVulnerabilityDataIngestion — выберите значение true, если вы хотите включить прием данных was Vulnerability с виртуальной машины Tenable. Значение по умолчанию: false.
L. LowestSeveritytoStoreWAS — самая низкая степень серьезности уязвимостей, сохраняемая для WAS. Допустимые значения: Info, Low, Medium, High, Critical. Значение по умолчанию — Info.
М. TenableExportScheduleInMinutes — запланируйте в минутах создание задания экспорта из виртуальной машины Tenable. Значение по умолчанию — 1440.
N. AssetTableName — введите имя таблицы, используемой для хранения журналов данных активов.
O. VulnTableName — введите имя таблицы, используемой для хранения журналов данных об уязвимостях.
P. ComplianceTableName — введите имя таблицы, используемой для хранения журналов данных соответствия.
Q. WASAssetTableName — введите имя таблицы, используемой для хранения журналов данных was asset.
R. WASVulnTableName — введите имя таблицы, используемой для хранения журналов данных об уязвимостях WAS.
s. PyTenableUAVendor — значение должно иметь значение Майкрософт.
T. PyTenableUAProduct — значение должно быть равно Microsoft Sentinel.
U. PyTenableUABuild — значение должно быть равно 3.1.0.
После ввода всех параметров приложения нажмите кнопку Сохранить.
Microsoft Defender на основе клиента для облака
Поддерживается корпорациейМайкрософт
Microsoft Defender для облака — это средство управления безопасностью, которое позволяет обнаруживать угрозы и быстро реагировать на них в Azure, гибридных и многооблачных рабочих нагрузках. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности MDC из Microsoft 365 Defender в Microsoft Sentinel, что позволяет использовать преимущества корреляций XDR, соединяющих точки между облачными ресурсами, устройствами и удостоверениями, а также просматривать данные в книгах, запросах, а также исследовать инциденты и реагировать на них. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Подключение Microsoft Defender на основе клиента для облака к Microsoft Sentinel
После подключения этого соединителя все оповещения Microsoft Defender для облачных подписок будут отправляться в эту рабочую область Microsoft Sentinel.
Оповещения Microsoft Defender для облака подключены к потоковой передаче через Microsoft 365 Defender. Чтобы воспользоваться преимуществами автоматической группировки оповещений по инцидентам, подключите соединитель инцидентов Microsoft 365 Defender. Инциденты можно просмотреть в очереди инцидентов.
TheHive (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных TheHive предоставляет возможность приема данных платформы реагирования на инциденты безопасности TheHive в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет получать варианты, задачи и оповещения из TheHive и визуализировать их в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TheHiveData |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к APIHive: для API TheHive требуется доступ к API TheHive версии 4 и более поздних версий.
Инструкции по настройке:
1. Конфигурация
Следуйте инструкциям по настройке соединителя TheHive.
Базовый URL-адрес: (базовый URL-адрес экземпляра TheHive (например,
https://thehive.example.com)) Получите ключ API из параметров профиля пользователя TheHive. (или выделенный пользователь, созданный для этой цели)Ключ API: (ключ API для API TheHive)
2. Подключение
Включите соединитель TheHive.
- Включение и отключение подключения
Теом
Поддерживается:Theom
Соединитель данных Theom позволяет организациям подключать среду Theom к Microsoft Sentinel. Это решение позволяет пользователям получать оповещения о рисках безопасности данных, создавать и дополнять инциденты, проверка статистику и запускать сборники схем SOAR в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TheomAlerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
- В консоли пользовательского интерфейса Theom щелкните Управление —> оповещения на боковой панели.
- Выберите вкладку Sentinel.
- Нажмите кнопку Активный , чтобы включить конфигурацию.
- Введите
Primaryключ какAuthorization Token - Введите как
Endpoint URLhttps://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01 - Щелкните
SAVE SETTINGS
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Аналитика угроз — TAXII
Поддерживается корпорациейМайкрософт
Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1 для мониторинга, оповещения и охоты с помощью аналитики угроз. Используйте этот соединитель для отправки поддерживаемых типов объектов STIX с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Платформы аналитики угроз
Поддерживается корпорациейМайкрософт
Microsoft Sentinel интегрируется с Microsoft Graph API безопасности источниками данных для мониторинга, оповещения и охоты с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз в Microsoft Sentinel из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MindMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
API отправки аналитики угроз (предварительная версия)
Поддерживается корпорациейМайкрософт
Microsoft Sentinel предлагает API плоскости данных для анализа угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
**Вы можете подключить источники данных аналитики угроз к Microsoft Sentinel с помощью: **
Использование интегрированной платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP и других.
Вызов API Microsoft Sentinel плоскости данных непосредственно из другого приложения.
- Примечание. Здесь значение "Состояние" соединителя не будет отображаться как "Подключено", так как данные подается путем вызова API.
**Выполните следующие действия, чтобы подключиться к аналитике угроз: **
1. Получение маркера доступа Microsoft Entra ID
Чтобы отправить запрос в API, необходимо получить Microsoft Entra ID маркер доступа. Вы можете выполнить инструкции на этой странице: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Примечание. Запросите маркер доступа Microsoft Entra ID с область значением [variables('managementUri')]
2. Отправка объектов STIX в Sentinel
Поддерживаемые типы объектов STIX можно отправить, вызвав API отправки. Дополнительные сведения об API см. здесь.
Метод HTTP: POST
Конечная точка: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview
WorkspaceID: рабочая область, в которую отправляются объекты STIX.
Значение заголовка 1: "Authorization" = "Bearer [Microsoft Entra ID access token from step 1]"
Значение заголовка 2: "Content-Type" = "application/json"
Текст: текст представляет собой объект JSON, содержащий массив объектов STIX.
Соединитель безопасности передачи (с помощью Функции Azure)
Поддерживается:Передача безопасности
Соединитель данных [Безопасность передачи] предоставляет возможность приема распространенных событий передачи API безопасности в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TransmitSecurityActivity_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Идентификатор клиента REST API. Требуется параметр TransmitSecurityClientID . Дополнительные сведения об API см. в документации
https://developer.transmitsecurity.com/по . -
Секрет клиента REST API: требуется параметр TransmitSecurityClientSecret . Дополнительные сведения об API см. в документации
https://developer.transmitsecurity.com/по .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API безопасности передачи для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Этапы настройки для API безопасности передачи
Следуйте инструкциям, чтобы получить учетные данные.
- Войдите на портал безопасности передачи.
- Настройка приложения управления. Присвойте приложению подходящее имя, например MyAzureSentinelCollector.
- Сохраните учетные данные нового пользователя для использования в соединителе данных.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Для передачи данных необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных "Передача безопасности" с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов.
Введите TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint и разверните.
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Для передачи данных безопасности с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции.
Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Вход в Azure.
Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно).
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure.
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где расположен Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
Выберите Переменные среды.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
- TransmitSecurityClientID
- TransmitSecurityClientSecret
- TransmitSecurityPullEndpoint
- TransmitSecurityTokenEndpoint
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri , чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Применить.
Trellix Endpoint Security (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Trellix Endpoint Security позволяет принимать события безопасности из Trellix ePO (ePolicy Orchestrator) в Microsoft Sentinel. Этот соединитель использует проверку подлинности учетных данных клиента OAuth2 и автоматически обрабатывает разбиение на страницы для сбора комплексных данных о безопасности конечных точек, включая сведения об обнаружении угроз, сведения об анализаторе, сведения об исходной и целевой системе, а также действия по реагированию на угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TrellixEvents |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
1. Конфигурация API
Настройте подключение API ePO Для Trellix.
- Базовый URL-адрес API: (https://api.manage.trellix.com) Проверка подлинности
Укажите ключ API для проверки подлинности. Это будет отправлено в заголовке x-api-key.
- Ключ API: (введите ключ API)
Примечание. Ключ API будет безопасно храниться и использоваться для проверки подлинности с помощью API EPO Trellix.
2. Конфигурация проверки подлинности
Настройте учетные данные проверки подлинности OAuth2.
Конечная точка токена: (https://iam.cloud.trellix.com/iam/v1.0/token) Конфигурация OAuth2 Настройка учетных данных клиента OAuth2 для доступа к API. Ознакомьтесь с моделью авторизации API Trellix на странице https://developer.manage.trellix.com/public/mvision/docs/umam
Идентификатор клиента: (ваш идентификатор клиента)
Секрет клиента: (секрет клиента)
Примечание. Проверка подлинности OAuth2 обеспечивает безопасный доступ к конечным точкам API.
3. Включение соединителя
Активация соединителя Trellix Endpoint Security
Активация соединителя
Проверьте конфигурацию и включите соединитель, чтобы начать сбор событий безопасности.
- Включение и отключение подключения после подключения
После подключения отслеживайте состояние соединителя на странице Соединители данных . Данные должны появиться в течение 5–10 минут.
Trend Vision One (с помощью Функции Azure)
Поддерживается:Trend Micro
Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench к Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Это позволяет получить больше сведений о сетях и системах вашей организации и улучшить возможности операций по обеспечению безопасности.
Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Канада, Центральная Индия, Центральная Часть США, Восточная Азия, Восточная ЧАСТЬ США, Восточная Франция, Восточная Япония, Центральная Корея, Северная часть США, Северная Европа, Восточная Норвегия, Южная Африка, Южная Африка, Центрально-Южная Часть США, Юго-Восточная Азия, Центральная Швеция, Северная Швейцария, Север ОАЭ, Южная Часть Соединенного Королевства, Западная Часть Великобритании, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Нет | Нет |
TrendMicro_XDR_RCA_Task_CL |
Нет | Нет |
TrendMicro_XDR_RCA_Result_CL |
Нет | Нет |
TrendMicro_XDR_OAT_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Маркер API Trend Vision One. Требуется маркер API Trend Vision One. Дополнительные сведения об API Trend Vision One см. в документации.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Trend Vision One для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по настройке API Trend Vision One
Следуйте этим инструкциям , чтобы создать учетную запись и маркер проверки подлинности API.
ШАГ 2. Используйте приведенный ниже параметр развертывания для развертывания соединителя и связанной функции Azure.
ВАЖНО: Перед развертыванием соединителя Trend Vision One необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации Api Trend Vision One, доступный.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Развертывание шаблона Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя Trend Vision One с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите уникальное имя функции, идентификатор рабочей области, ключ рабочей области, токен API и код региона.
- Примечание. Укажите соответствующий код региона в зависимости от того, где развернут экземпляр Trend Vision One: us, eu, au, in, sg, jp
- Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
Безопасность Tropico — оповещения
Поддерживается:TROPICO Security
Прием оповещений системы безопасности от платформы безопасности Tropico в формате поиска безопасности OCSF.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Connect Tropico Security Platform
Введите ключ API только для чтения из Tropico Settings.
- Ключ API: (trop_xxxx...)
- Включение и отключение подключения
Безопасность Tropico — события
Поддерживается:TROPICO Security
Прием событий безопасности из платформы безопасности Tropico в формате поиска безопасности OCSF.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Connect Tropico Security Platform
Введите ключ API только для чтения из Tropico Settings.
- Ключ API: (trop_xxxx...)
- Включение и отключение подключения
Безопасность Tropico — инциденты
Поддерживается:TROPICO Security
Прием инцидентов сеанса злоумышленников из платформы безопасности Tropico.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Connect Tropico Security Platform
Введите ключ API только для чтения из Tropico Settings.
- Ключ API: (trop_xxxx...)
- Включение и отключение подключения
Загрузчик журналов upwind (API приема)
Поддерживается:Upwind
Соединитель данных загрузчика журналов Upwind загружает ресурсы вычислительной платформы из платформы безопасности Upwind cloud в настраиваемую таблицу Microsoft Sentinel с помощью функции Azure и API мониторинга приема Azure (DCE/DCR).
Upwind обеспечивает облачную безопасность на основе среды выполнения, сопоставляя состояние облака с контекстом динамической рабочей нагрузки. Этот соединитель предоставляет данные инвентаризации Upwind — ресурсы вычислительной платформы в AWS, GCP и Azure — непосредственно в Microsoft Sentinel для корреляции, охоты и обогащения инцидентов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
UpwindLogsAssets_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные API Upwind: требуются идентификатор клиента UPWIND API и секрет клиента. Получите их на платформе Upwind в разделе Параметры → ключи API. Учетные данные клиента используются для проверки подлинности
https://auth.upwind.io/oauth/tokenдля получения маркера носителя. - Upwind Organization ID. Требуется идентификатор организации Upwind. Найдите его на платформе Upwind в разделе Параметры → организации.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure и API приема монитора Azure (DCE/DCR) для отправки журналов Upwind в Microsoft Sentinel. Шаблон ARM автоматически создает конечную точку сбора данных, настраиваемую таблицу журналов (
UpwindLogsAssets_CL), правило сбора данных и назначение ролей. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Azure Монитор.
(Необязательно) Во время развертывания выберите Key Vault в качестве метода проверки подлинности для безопасного хранения секрета клиента Upwind. Вы можете указать существующее имя Key Vault или позволить шаблону создать новый. Управляемое удостоверение, назначаемое пользователем, автоматически настраивается с помощью необходимых политик доступа Key Vault.
ШАГ 1. Получение учетных данных API upwind
- Войдите на платформу Upwind.
- Перейдите в раздел Параметры → ключи API.
- Создайте ключ API и запишите идентификатор клиента и секрет клиента.
- Перейдите в раздел Параметры → Организация и запишите свой идентификатор организации.
ШАГ 2. Развертывание приложения-функции Azure
Нажмите кнопку Развернуть, чтобы Azure и введите параметры. Шаблон автоматически создает DCE, таблицу, UpwindLogs_CL DCR, назначение ролей и приложение-функцию.
Параметры для заполнения:
| Параметр | Описание |
|---|---|
WorkspaceName |
Имя рабочей области Log Analytics или Microsoft Sentinel |
UpwindOrgId |
Идентификатор организации upwind из шага 1 |
UpwindClientId |
Идентификатор клиента API upwind из шага 1 |
UpwindClientSecret |
Upwind API Client Secret from Step 1 |
AppInsightsWorkspaceResourceID |
Полный идентификатор ресурса рабочей области Log Analytics (из рабочей области Log Analytics → свойства) |
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
Сигналы поведения агента ИИ Vaikora
Поддерживается:Data443 Risk Mitigation, Inc.
Прием сигналов поведения агента ИИ из API Vaikora в Microsoft Sentinel с помощью платформы соединителя без кода (CCF). Отслеживайте действия агента, решения политик, оценки аномалий и уровни риска для обнаружения подозрительных действий ИИ в вашей среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Vaikora_AgentSignals_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Ключ API Vaikora: ключ API Vaikora (vk_xxxxx) с доступом на чтение к конечной точке действий. Получите его на панели мониторинга Vaikora в разделе Параметры ключи > API.
Инструкции по настройке:
Поведенческие сигналы агента ИИ Connect Vaikora
Чтобы включить соединитель Vaikora, введите ключ API Vaikora ниже и нажмите кнопку Подключить. Идентификатор агента необязателен. используйте его для область приема в один агент или оставьте его пустым, чтобы принимать действия от всех агентов, которые могут видеть ключ.
Ключ API доступен на панели мониторинга Vaikora в разделе Параметры ключей > API. Идентификатор агента — это идентификатор UUID, отображаемый на странице сведений о каждом агенте.
- Ключ API Vaikora: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
- Идентификатор агента Vaikora (необязательно):(Оставьте пустым, чтобы отслеживать все агенты)
- Включение и отключение подключения
События конфигурации принудительного применения Valimail
Поддерживается:Valimail
Соединитель данных событий конфигурации Valimail позволяет принимать события конфигурации домена электронной почты из API отчетов Valimail в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ValimailEnforceEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Действия по настройке ДЛЯ API событий Valimail Следуйте инструкциям в руководстве, чтобы создать набор учетных данных API отчетов. Сохраните созданный идентификатор клиента и ключи идентификатора приложения.
- Slug учетной записи клиента: (slug учетной записи)
- Идентификатор клиента API: (учетные данные идентификатора клиента)
- Идентификатор приложения API: (учетные данные идентификатора приложения)
- Включение и отключение подключения
Соединитель принудительной отправки Varonis Purview
Поддерживается:Varonis
Соединитель Varonis Purview позволяет синхронизировать ресурсы из Varonis с Microsoft Purview.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VaronisResources_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Выполните это, чтобы настроить прием для Varonis Resoources
При этом будут созданы необходимые таблицы Log Analytics, правило сбора данных (DCR) и приложение Entra для безопасной отправки данных в DCR.
Автоматическая настройка и безопасный прием данных с помощью Entra приложения при нажатии кнопки "Развернуть" вызовет создание таблиц Log Analytics и правила сбора данных (DCR). Затем он создаст приложение Entra, свяжет с ним DCR и задаст введенный секрет в приложении. Эта настройка позволяет безопасно отправлять данные в DCR с помощью маркера Entra.
2. Отправка журналов в рабочую область
Используйте следующие параметры для настройки соединителя Varonis Purview на панели мониторинга интеграции Varonis.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- Entra идентификатор приложения для регистрации приложений: <значение переменной, указанное во время установки>
- Entra секрет регистрации приложений: <значение переменной, указанное во время установки>
- Uri конечной точки сбора данных: <значение переменной, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Имя Stream ресурсов: <значение переменной, указанное во время установки>
Varonis SaaS
Поддерживается:Varonis
Varonis SaaS предоставляет возможность приема оповещений Varonis в Microsoft Sentinel.
Varonis уделяет приоритетное внимание глубокой видимости данных, возможностям классификации и автоматическому исправлению для доступа к данным. Varonis создает единое приоритетное представление о рисках для ваших данных, чтобы вы могли упреждающе и систематически устранять риски, связанные с внутренними угрозами и кибератаками.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VaronisAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к службе Varonis DatAlert для извлечения оповещений в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Для установки функции Azure и связанных служб используйте:
ШАГ 1. Получение учетных данных API конечной точки Varonis DatAlert.
Чтобы создать идентификатор клиента и ключ API, выполните следующие действия.
- Запустите веб-интерфейс Varonis.
- Перейдите к разделу Конфигурация —> ключи API. Отобразится страница Ключи API.
- Щелкните Создать ключ API. Параметры Добавить новый ключ API отображаются справа.
- Введите имя и описание.
- Нажмите кнопку Создать ключ.
- Скопируйте секрет ключа API и сохраните его в удобном расположении. Вы не сможете скопировать его снова.
Дополнительные сведения проверка: Документация по Varonis
ШАГ 2. Развертывание соединителя и связанной функции Azure.
- Имя рабочей области: <значение переменной, указанное во время установки>
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure.
Выберите предпочтительную подписку, группу ресурсов, регион, тип учетной записи хранения.
Введите Имя рабочей области Log Analytics, Полное доменное имя Varonis, Ключ API SaaS Varonis.
Щелкните Просмотреть и создать, Создать.
Vectra XDR (с использованием Функции Azure)
Поддерживается:Поддержка Vectra
Соединитель Vectra XDR позволяет принимать данные обнаружения, аудита, оценки сущностей, блокировки, работоспособности и сущностей в Microsoft Sentinel с помощью REST API Vectra. Дополнительные сведения см. в документации https://support.vectra.ai/s/article/KB-VS-1666 по API.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Detections_Data_CL |
Да | Да |
Audits_Data_CL |
Да | Да |
Entity_Scoring_Data_CL |
Да | Да |
Lockdown_Data_CL |
Да | Да |
Health_Data_CL |
Да | Да |
Entities_Data_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Идентификатор клиента Vectra и секрет клиента требуются для сбора данных работоспособности, оценки сущностей, сущностей, обнаружения, блокировки и аудита. Дополнительные сведения об API см. в документации
https://support.vectra.ai/s/article/KB-VS-1666по .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Vectra для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, чтобы работать должным образом. Выполните следующие действия, чтобы создать псевдоним функций Kusto, VectraLockdown, VectraLockdown и VectraHealth.
ШАГ 1. Действия по настройке учетных данных API Vectra
Следуйте этим инструкциям, чтобы создать идентификатор клиента Vectra и секрет клиента.
- Войдите на портал Vectra
- Перейдите к разделу Управление —> клиенты API
- На странице Клиенты API выберите "Добавить клиент API", чтобы создать новый клиент.
- Добавьте имя клиента, выберите Роль и щелкните Создать учетные данные, чтобы получить учетные данные клиента.
- Обязательно запишите идентификатор клиента и секретный ключ для хранения. Эти два фрагмента потребуются для получения маркера доступа из API Vectra. Маркер доступа требуется для отправки запросов ко всем конечным точкам API Vectra.
Шаг 2. Шаги регистрации приложения для приложения в Microsoft Entra ID
Для этой интеграции требуется регистрация приложения в портал Azure. Выполните действия, описанные в этом разделе, чтобы создать приложение в Microsoft Entra ID:
- Войдите на портал Azure.
- Найдите и выберите Microsoft Entra ID.
- В разделе Управление выберите Регистрация приложений > Новая регистрация.
- Введите отображаемое имя приложения.
- Выберите Зарегистрировать , чтобы завершить начальную регистрацию приложения.
- После завершения регистрации портал Azure отобразит панель Обзор регистрации приложения. Вы увидите идентификатор приложения (клиента) и идентификатор клиента. Идентификатор клиента и идентификатор клиента требуются в качестве параметров конфигурации для выполнения Соединителя данных Vectra.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app
ШАГ 3. Добавление секрета клиента для приложения в Microsoft Entra ID
Секрет клиента, который иногда называется паролем приложения, является строковым значением, необходимым для выполнения соединителя данных Vectra. Выполните действия, описанные в этом разделе, чтобы создать секрет клиента.
- В портал Azure в Регистрация приложений выберите свое приложение.
- Выберите Сертификаты & секреты >> клиента Новый секрет клиента.
- Добавьте описание секрета клиента.
- Выберите срок действия секрета или укажите пользовательское время существования. Ограничение составляет 24 месяца.
- Нажмите Добавить.
- Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше не отображается после того, как вы покинете эту страницу. Значение секрета требуется в качестве параметра конфигурации для выполнения соединителя данных Vectra.
Ссылка на ссылку:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
ШАГ 4. Получение идентификатора объекта приложения в Microsoft Entra ID
После создания регистрации приложения выполните действия, описанные в этом разделе, чтобы получить идентификатор объекта:
- Перейдите к Microsoft Entra ID.
- Выберите Корпоративные приложения в меню слева.
- Найдите созданное приложение в списке (вы можете выполнить поиск по указанному имени).
- Щелкните приложение.
- На странице обзора скопируйте идентификатор объекта. Это azureEntraObjectId , необходимый для назначения роли шаблона ARM.
ШАГ 5. Назначение роли участника приложения в Microsoft Entra ID
Выполните действия, описанные в этом разделе, чтобы назначить роль:
- В портал Azure перейдите к группе ресурсов и выберите свою группу ресурсов.
- Перейдите в раздел Управление доступом (IAM) на левой панели.
- Щелкните Добавить и выберите Добавить назначение ролей.
- Выберите Участник в качестве роли и нажмите кнопку Далее.
- В разделе Назначение доступа выберите
User, group, or service principal. - Щелкните Добавить участников и введите имя созданного приложения и выберите его.
- Теперь щелкните Проверить и назначить, а затем снова щелкните Проверить и назначить.
Ссылка на ссылку:/azure/role-based-access-control/role-assignments-portal
ШАГ 6. Создание хранилища ключей
Следуйте этим инструкциям, чтобы создать хранилище ключей.
- В портал Azure перейдите к хранилищам ключей и щелкните Создать.
- Выберите Подраздел, Группа ресурсов и укажите уникальное имя keyvault.
ШАГ 7. Создание политики доступа в хранилище ключей
Следуйте этим инструкциям, чтобы создать политику доступа в Keyvault.
- Перейдите к keyvaults, выберите свое хранилище ключей, перейдите в раздел Политики доступа на левой боковой панели, щелкните Создать.
- Выберите все ключи & разрешения на секреты. Нажмите кнопку Далее.
- В разделе субъекта выполните поиск по имени приложения, которое было создано в шаге 2. Нажмите кнопку Далее.
Примечание. Убедитесь, что для модели разрешений в конфигурации доступа Key Vault задано значение "Политика доступа к хранилищу".
ШАГ 8. Выберите один из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя данных Vectra ведите учетные данные авторизации Vectra API.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Vectra.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения: Имя функции Имя рабочей области Vectra Базовый URL-адрес (https://< vectra-portal-url>) Идентификатор клиента Vectra - Секретный ключ клиента Health Vectra - Идентификатор клиента Health Vectra - Entity Scoring Client Secret - Entity Scoring Vectra Client Id - Entity Scoring Vectra Client Id - Detections Vecc Секрет клиентаtra - Обнаружения Идентификатор клиента Vectra - Аудиты Секрет клиента Vectra - Аудиты Идентификатор клиента Vectra - Lockdown Vectra Client Secret - Lockdown Vectra Client Id - Host-Entity Секрет клиента Vectra - Host-Entity Идентификатор клиента Vectra - Account-Entity Секрет клиента Vectra — Account-Entity Key Vault имя Azure идентификатор клиента Azure идентификатор клиента секрета клиента Azure Entra ObjectID StartTime (в формате MM/DD/ГГГГ HH:MM:SS) Включают в себя оценку Уменьшение количества аудитов Имя таблицы Обнаружения Имя таблицы Определение сущности скоринга Имя таблицы Исключить сведения о группе из уровня журнала обнаружения (по умолчанию: INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Vectra с помощью Функции Azure (Развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, VECTRAXXXXXX).
e. Выберите среду выполнения: Выберите Python 3.8 или более поздней версии.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности: с соответствующими значениями (с учетом регистра): идентификатор рабочей области Рабочий и ключ Vectra Базовый URL-адрес (https://< vectra-portal-url>) Идентификатор клиента Vectra — секретный ключ клиента Health Vectra — идентификатор клиента Health Vectra — оценка сущностей Vecring Секрет клиентаtra — идентификатор клиента Vectra оценки сущностей — обнаружение секрета клиента Vectra — обнаружения идентификатора клиента Vectra — аудиты секрета клиента Vectra — аудиты идентификатора клиента Vectra — блокировка секрета клиента Vectra — блокировка Идентификатор клиента Vectra - Host-Entity Секрет клиента Vectra - Host-Entity Идентификатор клиента Vectra - Account-Entity Секрет клиента Vectra - Account-Entity Key Vault имя Azure идентификатор клиента Azure идентификатор клиента Секрет клиента секрета клиента (в ФОРМАТЕ ММ/ДД/ГГГГ HH:MM:SS) Включить оценку Уменьшение количества аудитов Имя таблицы Обнаружение сущности имя таблицы Скоринг Имя таблицы Блокировка имя таблицы Имя таблицы Имя таблицы Сущности имени таблицы Табличное имя Уровень имени таблицы (по умолчанию: INFO) Lockdown Schedule Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entities Schedule LogAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Соединитель данных Veeam (с помощью Функции Azure)
Поддерживается:Veeam Software
Соединитель данных Veeam позволяет принимать данные телеметрии Veeam из нескольких пользовательских таблиц в Microsoft Sentinel.
Соединитель поддерживает интеграцию с платформами Veeam Backup & Replication, Veeam ONE и Coveware, чтобы обеспечить комплексный мониторинг и аналитику безопасности. Данные собираются через Функции Azure и хранятся в пользовательских таблицах Log Analytics с выделенными правилами сбора данных (DCR) и конечными точками сбора данных (DCE).
Пользовательские таблицы включены:
- VeeamMalwareEvents_CL: события обнаружения вредоносных программ из репликации Veeam Backup &
- VeeamSecurityComplianceAnalyzer_CL. Результаты анализатора соответствия требованиям безопасности &, собранные из компонентов инфраструктуры резервного копирования Veeam
- VeeamAuthorizationEvents_CL: события авторизации и проверки подлинности
- VeeamOneTriggeredAlarms_CL: срабатывание оповещений с серверов Veeam ONE
- VeeamCovewareFindings_CL: результаты анализа безопасности из решения Coveware
- VeeamSessions_CL: сеансы Veeam
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VeeamMalwareEvents_CL |
Да | Да |
VeeamSecurityComplianceAnalyzer_CL |
Да | Да |
VeeamOneTriggeredAlarms_CL |
Да | Да |
VeeamAuthorizationEvents_CL |
Да | Да |
VeeamCovewareFindings_CL |
Да | Да |
VeeamSessions_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Доступ к инфраструктуре Veeam. Требуется доступ к REST API репликации & резервного копирования Veeam и платформе мониторинга Veeam ONE. Сюда входят правильные учетные данные проверки подлинности и сетевое подключение.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Veeam и извлечения данных в Microsoft Sentinel пользовательские таблицы. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Шаг 1. Выберите вариант развертывания для Соединителя данных Veeam и связанных Функции Azure
ВАЖНО: Перед развертыванием Соединителя данных Veeam подготовьте имя рабочей области (можно скопировать из следующего кода).
- Имя рабочей области: <значение переменной, указанное во время установки>
Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Veeam с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области Microsoft Sentinel.
Щелкните Просмотреть и создать, Создать.
VersasecCms
Поддерживается:Versasec Support
Соединитель данных VersasecCms позволяет принимать журналы в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VersasecCmsSysLogs_CL |
Нет | Нет |
VersasecCmsErrorLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Конфигурация
Введите учетные данные для VersasecCms.
- URL-адрес управления:
- Базовый путь к API:
- Токен API:
- Интервал опроса (в минутах):
- Включение и отключение подключения
VirtualMetric DataStream для Microsoft Sentinel
Поддерживается:VirtualMetric
Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема данных телеметрии безопасности в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Регистрация приложения или управляемое удостоверение Azure. VirtualMetric DataStream требует идентификатора Entra для проверки подлинности и отправки журналов в Microsoft Sentinel. Вы можете создать регистрацию приложения с идентификатором клиента и секретом клиента или использовать управляемое удостоверение Azure для повышения безопасности без управления учетными данными.
- Назначение роли группы ресурсов. Выбранное удостоверение (регистрация приложения или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журнала) и средство чтения мониторинга (для чтения конфигурации потока).
Инструкции по настройке:
Настройка потока данных VirtualMetric для Microsoft Sentinel
Настройте VirtualMetric DataStream для Microsoft Sentinel отправки данных.
Регистрация приложения в Microsoft Entra ID (необязательно)
Выбор метода проверки подлинности: вариант A. Использование управляемого удостоверения Azure (рекомендуется)
- Пропустите этот шаг, если планируете использовать Azure управляемое удостоверение для проверки подлинности.
- Azure управляемое удостоверение предоставляет более безопасный метод проверки подлинности без управления учетными данными.
Вариант Б. Регистрация приложения субъекта-службы
Откройте страницу Microsoft Entra ID:
- Щелкните указанную ссылку, чтобы открыть страницу регистрации Microsoft Entra ID на новой вкладке.
- Убедитесь, что вы вошли с учетной записью с разрешениями администратора приложений или глобального администратора .
Создание нового приложения:
- На портале Microsoft Entra ID выберите Регистрация приложений в области навигации слева.
- Щелкните + Новая регистрация.
- Заполните следующие поля:
- Имя: введите описательное имя приложения (например, "Соединитель VirtualMetric ASIM").
- Поддерживаемые типы учетных записей. Выберите Учетные записи только в этом каталоге организации (один клиент).
-
URI перенаправления: оставьте это поле пустым.
- Нажмите кнопку Зарегистрировать , чтобы создать приложение.
Копирование идентификаторов приложений и клиентов:
- После регистрации приложения обратите внимание на идентификатор приложения (клиента) и идентификатор каталога (клиента) на странице Обзор . Они потребуются для конфигурации VirtualMetric DataStream.
Создайте секрет клиента:
- В разделе Сертификаты & секреты щелкните + Новый секрет клиента.
- Добавьте описание (например, VirtualMetric ASIM Secret) и задайте соответствующий срок действия.
- Нажмите кнопку Добавить.
- Немедленно скопируйте значение секрета клиента, так как оно не будет отображаться снова. Храните это безопасно для конфигурации VirtualMetric DataStream.
Назначение необходимых разрешений
Назначьте необходимые роли выбранному методу проверки подлинности (субъект-служба или управляемое удостоверение) в группе ресурсов.
Для субъекта-службы (если вы выполнили шаг 1):
Перейдите к группе ресурсов:
- Откройте портал Azure и перейдите к группе ресурсов, которая содержит рабочую область Log Analytics и где будут развернуты правила сбора данных (DCR).
Назначьте роль издателя метрик мониторинга:
- В группе ресурсов щелкните Управление доступом (IAM) в меню слева.
- Нажмите кнопку + Добавить и выберите Добавить назначение ролей.
- На вкладке Роль найдите и выберите Издатель метрик мониторинга.
- Нажмите кнопку Далее, чтобы перейти на вкладку Участники .
- В разделе Назначение доступа выберите Пользователь, группа или субъект-служба.
- Щелкните + Выберите участников и найдите зарегистрированное приложение по имени или идентификатору клиента.
- Выберите приложение и нажмите кнопку Выбрать.
- Нажмите кнопку Проверить и назначить дважды, чтобы завершить назначение.
Назначьте роль читателя мониторинга:
- Повторите тот же процесс, чтобы назначить роль читателя мониторинга :
- Нажмите кнопку + Добавить и выберите Добавить назначение ролей.
- На вкладке Роль найдите и выберите Средство чтения мониторинга.
- Выполните тот же процесс выбора членов, что и выше.
- Нажмите кнопку Проверить и назначить дважды, чтобы завершить назначение. Для управляемого удостоверения Azure:
Создайте или определите управляемое удостоверение.
- При использовании управляемого удостоверения, назначаемого системой: включите его в ресурсе Azure (виртуальная машина, Служба приложений и т. д.).
- При использовании управляемого удостоверения, назначаемого пользователем: создайте его в группе ресурсов, если оно не существует.
Назначьте роль издателя метрик мониторинга:
- Выполните те же действия, что и выше, но на вкладке Члены :
- В разделе Назначение доступа выберите Управляемое удостоверение.
- Щелкните + Выбрать участников , выберите соответствующий тип управляемого удостоверения и выберите свое удостоверение.
- Нажмите кнопку Выбрать, а затем дважды проверить и назначить .
Назначьте роль читателя мониторинга:
- Повторите процесс, чтобы назначить роль читателя мониторинга тому же управляемому удостоверению. Сводка по необходимым разрешениям. Назначенные роли предоставляют следующие возможности:
- Издатель метрик мониторинга: запись данных в конечные точки сбора данных (DCE) и отправка данных телеметрии с помощью правил сбора данных (DCR)
- Средство чтения мониторинга: чтение конфигурации потока и доступ к рабочей области Log Analytics для приема таблиц ASIM
Развертывание инфраструктуры Azure
Разверните требуемую конечную точку сбора данных (DCE) и правила сбора данных (DCR) для Microsoft Sentinel таблиц с помощью шаблона ARM.
Развертывание в Azure:
- Нажмите кнопку Развернуть в Azure ниже, чтобы автоматически развернуть необходимую инфраструктуру:
- portal.azure.com
- Это приведет вас непосредственно к портал Azure, чтобы начать развертывание.
Настройка параметров развертывания:
- На странице настраиваемого развертывания настройте следующие параметры:
Сведения о проекте:
- Подписка: выберите подписку Azure в раскрывающемся списке.
- Группа ресурсов. Выберите существующую группу ресурсов или нажмите кнопку Создать, чтобы создать новый экземпляр.
- Регион. Выберите Azure регион, в котором расположена рабочая область Log Analytics (например, Западная Европа).
- Рабочая область: введите имя рабочей области Log Analytics.
- Имя DCE: укажите имя для конечной точки сбора данных (например, "vmetric-dce").
- Префикс имени DCR: укажите префикс для правил сбора данных (например, "vmetric-dcr").
Завершите развертывание:
- Нажмите кнопку Проверить и создать , чтобы проверить шаблон.
- Просмотрите параметры и нажмите кнопку Создать , чтобы развернуть ресурсы.
- Дождитесь завершения развертывания (обычно это занимает 2–5 минут).
Проверьте развернутые ресурсы:
- После развертывания убедитесь, что были созданы следующие ресурсы:
- Конечная точка сбора данных (DCE): проверьте конечные точки сбора данных мониторинга > Azure портала >
-
Правила сбора данных (DCR): проверьте правила отслеживания > данных Azure портала >
-
Скопируйте URI приема журналов DCE со страницы "Обзор DCE" (формат :
https://<dce-name>.<region>.ingest.monitor.azure.com) -
Скопируйте идентификатор ресурса DCE со страницы "Обзор DCE" (формат :
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>) - Для каждого DCR обратите внимание на неизменяемый идентификатор на странице Обзор . Они потребуются для конфигурации потока данных VirtualMetric.
-
Скопируйте URI приема журналов DCE со страницы "Обзор DCE" (формат :
Настройка интеграции с потоком данных VirtualMetric
Настройте VirtualMetric DataStream для отправки данных телеметрии безопасности в Microsoft Sentinel таблицы.
Доступ к конфигурации потока данных VirtualMetric:
- Войдите в консоль управления VirtualMetric DataStream.
- Перейдите в раздел Целевые объекты управления парком>.
- Нажмите кнопку Добавить новый целевой объект .
- Выберите Microsoft Sentinel целевой объект.
Настройка общих параметров:
- Имя: введите имя целевого объекта (например, "cus01-ms-sentinel").
- Описание. При необходимости укажите описание целевой конфигурации.
Настройка проверки подлинности Azure (выбор в соответствии с шагом 1). Для проверки подлинности субъекта-службы:
- Управляемое удостоверение для Azure: не отключено
- Идентификатор клиента. Введите идентификатор каталога (клиента) из шага 1.
- Идентификатор клиента. Введите идентификатор приложения (клиента) из шага 1.
- Секрет клиента. Введите значение секрета клиента из шага 1 Для управляемого удостоверения Azure:
- Управляемое удостоверение для Azure: включено.
Настройка свойств Stream:
- Конечная точка. Выберите метод конфигурации:
-
Для настройки потока вручную: введите URI приема журналов DCE (формат:
https://<dce-name>.<region>.ingest.monitor.azure.com). -
Для автоматического обнаружения потоков: введите идентификатор ресурса DCE (формат:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)- Потоки. Выберите Автоматически для автоматического обнаружения потоков или настройте определенные потоки при необходимости.
-
Проверка приема данных в Microsoft Sentinel:
- Возврат к рабочей области Log Analytics
- Выполните примеры запросов к таблицам ASIM, чтобы подтвердить получение данных:
ASimNetworkSessionLogs | where TimeGenerated > ago(1h) | take 10 - Просмотрите панель мониторинга Microsoft Sentinel Обзор, чтобы узнать о новых источниках данных и количестве событий.
VirtualMetric DataStream для озера данных Microsoft Sentinel
Поддерживается:VirtualMetric
Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема телеметрии безопасности в Microsoft Sentinel озера данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Регистрация приложения или управляемое удостоверение Azure. VirtualMetric DataStream требует идентификатора Entra для проверки подлинности и отправки журналов в озеро данных Microsoft Sentinel. Вы можете создать регистрацию приложения с идентификатором клиента и секретом клиента или использовать управляемое удостоверение Azure для повышения безопасности без управления учетными данными.
- Назначение роли группы ресурсов. Выбранное удостоверение (регистрация приложения или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журнала) и средство чтения мониторинга (для чтения конфигурации потока).
Инструкции по настройке:
Настройка VirtualMetric DataStream для Microsoft Sentinel озера данных
Настройте VirtualMetric DataStream для Microsoft Sentinel озера данных для отправки данных.
Регистрация приложения в Microsoft Entra ID (необязательно)
Выбор метода проверки подлинности: вариант A. Использование управляемого удостоверения Azure (рекомендуется)
- Пропустите этот шаг, если планируете использовать Azure управляемое удостоверение для проверки подлинности.
- Azure управляемое удостоверение предоставляет более безопасный метод проверки подлинности без управления учетными данными.
Вариант Б. Регистрация приложения субъекта-службы
Откройте страницу Microsoft Entra ID:
- Щелкните указанную ссылку, чтобы открыть страницу регистрации Microsoft Entra ID на новой вкладке.
- Убедитесь, что вы вошли с учетной записью с разрешениями администратора приложений или глобального администратора .
Создание нового приложения:
- На портале Microsoft Entra ID выберите Регистрация приложений в области навигации слева.
- Щелкните + Новая регистрация.
- Заполните следующие поля:
- Имя: введите описательное имя приложения (например, "Соединитель VirtualMetric ASIM").
- Поддерживаемые типы учетных записей. Выберите Учетные записи только в этом каталоге организации (один клиент).
-
URI перенаправления: оставьте это поле пустым.
- Нажмите кнопку Зарегистрировать , чтобы создать приложение.
Копирование идентификаторов приложений и клиентов:
- После регистрации приложения обратите внимание на идентификатор приложения (клиента) и идентификатор каталога (клиента) на странице Обзор . Они потребуются для конфигурации VirtualMetric DataStream.
Создайте секрет клиента:
- В разделе Сертификаты & секреты щелкните + Новый секрет клиента.
- Добавьте описание (например, VirtualMetric ASIM Secret) и задайте соответствующий срок действия.
- Нажмите кнопку Добавить.
- Немедленно скопируйте значение секрета клиента, так как оно не будет отображаться снова. Храните это безопасно для конфигурации VirtualMetric DataStream.
Назначение необходимых разрешений
Назначьте необходимые роли выбранному методу проверки подлинности (субъект-служба или управляемое удостоверение) в группе ресурсов.
Для субъекта-службы (если вы выполнили шаг 1):
Перейдите к группе ресурсов:
- Откройте портал Azure и перейдите к группе ресурсов, которая содержит рабочую область Log Analytics и где будут развернуты правила сбора данных (DCR).
Назначьте роль издателя метрик мониторинга:
- В группе ресурсов щелкните Управление доступом (IAM) в меню слева.
- Нажмите кнопку + Добавить и выберите Добавить назначение ролей.
- На вкладке Роль найдите и выберите Издатель метрик мониторинга.
- Нажмите кнопку Далее, чтобы перейти на вкладку Участники .
- В разделе Назначение доступа выберите Пользователь, группа или субъект-служба.
- Щелкните + Выберите участников и найдите зарегистрированное приложение по имени или идентификатору клиента.
- Выберите приложение и нажмите кнопку Выбрать.
- Нажмите кнопку Проверить и назначить дважды, чтобы завершить назначение.
Назначьте роль читателя мониторинга:
- Повторите тот же процесс, чтобы назначить роль читателя мониторинга :
- Нажмите кнопку + Добавить и выберите Добавить назначение ролей.
- На вкладке Роль найдите и выберите Средство чтения мониторинга.
- Выполните тот же процесс выбора членов, что и выше.
- Нажмите кнопку Проверить и назначить дважды, чтобы завершить назначение. Для управляемого удостоверения Azure:
Создайте или определите управляемое удостоверение.
- При использовании управляемого удостоверения, назначаемого системой: включите его в ресурсе Azure (виртуальная машина, Служба приложений и т. д.).
- При использовании управляемого удостоверения, назначаемого пользователем: создайте его в группе ресурсов, если оно не существует.
Назначьте роль издателя метрик мониторинга:
- Выполните те же действия, что и выше, но на вкладке Члены :
- В разделе Назначение доступа выберите Управляемое удостоверение.
- Щелкните + Выбрать участников , выберите соответствующий тип управляемого удостоверения и выберите свое удостоверение.
- Нажмите кнопку Выбрать, а затем дважды проверить и назначить .
Назначьте роль читателя мониторинга:
- Повторите процесс, чтобы назначить роль читателя мониторинга тому же управляемому удостоверению. Сводка по необходимым разрешениям. Назначенные роли предоставляют следующие возможности:
- Издатель метрик мониторинга: запись данных в конечные точки сбора данных (DCE) и отправка данных телеметрии с помощью правил сбора данных (DCR)
- Средство чтения мониторинга: чтение конфигурации потока и доступ к рабочей области Log Analytics для приема таблиц ASIM
Развертывание инфраструктуры Azure
Разверните требуемую конечную точку сбора данных (DCE) и правила сбора данных (DCR) для Microsoft Sentinel таблиц озера данных с помощью шаблона ARM.
Развертывание в Azure:
- Нажмите кнопку Развернуть в Azure ниже, чтобы автоматически развернуть необходимую инфраструктуру:
- portal.azure.com
- Это приведет вас непосредственно к портал Azure, чтобы начать развертывание.
Настройка параметров развертывания:
- На странице настраиваемого развертывания настройте следующие параметры:
Сведения о проекте:
- Подписка: выберите подписку Azure в раскрывающемся списке.
- Группа ресурсов. Выберите существующую группу ресурсов или нажмите кнопку Создать, чтобы создать новый экземпляр.
- Регион. Выберите Azure регион, в котором расположена рабочая область Log Analytics (например, Западная Европа).
- Рабочая область: введите имя рабочей области Log Analytics.
- Имя DCE: укажите имя для конечной точки сбора данных (например, "vmetric-dce").
- Префикс имени DCR: укажите префикс для правил сбора данных (например, "vmetric-dcr").
Завершите развертывание:
- Нажмите кнопку Проверить и создать , чтобы проверить шаблон.
- Просмотрите параметры и нажмите кнопку Создать , чтобы развернуть ресурсы.
- Дождитесь завершения развертывания (обычно это занимает 2–5 минут).
Проверьте развернутые ресурсы:
- После развертывания убедитесь, что были созданы следующие ресурсы:
- Конечная точка сбора данных (DCE): проверьте конечные точки сбора данных мониторинга > Azure портала >
-
Правила сбора данных (DCR): проверьте правила отслеживания > данных Azure портала >
-
Скопируйте URI приема журналов DCE со страницы "Обзор DCE" (формат :
https://<dce-name>.<region>.ingest.monitor.azure.com) -
Скопируйте идентификатор ресурса DCE со страницы "Обзор DCE" (формат :
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>) - Для каждого DCR обратите внимание на неизменяемый идентификатор на странице Обзор . Они потребуются для конфигурации потока данных VirtualMetric.
-
Скопируйте URI приема журналов DCE со страницы "Обзор DCE" (формат :
Настройка интеграции с потоком данных VirtualMetric
Настройте VirtualMetric DataStream для отправки данных телеметрии безопасности в Microsoft Sentinel таблицы озера данных.
Доступ к конфигурации потока данных VirtualMetric:
- Войдите в консоль управления VirtualMetric DataStream.
- Перейдите в раздел Целевые объекты управления парком>.
- Нажмите кнопку Добавить новый целевой объект .
- Выберите Microsoft Sentinel целевой объект.
Настройка общих параметров:
- Имя: введите имя целевого объекта (например, "cus01-ms-sentinel").
- Описание. При необходимости укажите описание целевой конфигурации.
Настройка проверки подлинности Azure (выбор в соответствии с шагом 1). Для проверки подлинности субъекта-службы:
- Управляемое удостоверение для Azure: не отключено
- Идентификатор клиента. Введите идентификатор каталога (клиента) из шага 1.
- Идентификатор клиента. Введите идентификатор приложения (клиента) из шага 1.
- Секрет клиента. Введите значение секрета клиента из шага 1 Для управляемого удостоверения Azure:
- Управляемое удостоверение для Azure: включено.
Настройка свойств Stream:
- Конечная точка. Выберите метод конфигурации:
-
Для настройки потока вручную: введите URI приема журналов DCE (формат:
https://<dce-name>.<region>.ingest.monitor.azure.com). -
Для автоматического обнаружения потоков: введите идентификатор ресурса DCE (формат:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)- Потоки. Выберите Автоматически для автоматического обнаружения потоков или настройте определенные потоки при необходимости.
-
Проверка приема данных в Microsoft Sentinel озере данных:
- Возврат к рабочей области Log Analytics
- Выполните примеры запросов к таблицам ASIM, чтобы подтвердить получение данных:
ASimNetworkSessionLogs | where TimeGenerated > ago(1h) | take 10 - Просмотрите панель мониторинга Microsoft Sentinel Обзор, чтобы узнать о новых источниках данных и количестве событий.
Прокси-сервер директора виртуальной метрики
Поддерживается:VirtualMetric
VirtualMetric Director Proxy развертывает приложение-функцию Azure для безопасного соединения VirtualMetric DataStream с Azure службами, включая Microsoft Sentinel, Azure Data Explorer и хранилище Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- приложение-функция Azure. Для размещения прокси-сервера директора необходимо развернуть приложение-функцию Azure. Для создания приложения-функции и управления ими требуются разрешения на чтение, запись и удаление ресурсов Microsoft.Web/sites в группе ресурсов.
- Конфигурация VirtualMetric DataStream. Для подключения к прокси-серверу директора необходимо настроить VirtualMetric DataStream с учетными данными проверки подлинности. Прокси-сервер директора выступает в качестве безопасного моста между VirtualMetric DataStream и службами Azure.
- Целевые службы Azure. Настройте целевые службы Azure, например конечные точки сбора данных Microsoft Sentinel, кластеры Azure Data Explorer или учетные записи хранения Azure, в которых прокси-сервер директора будет пересылать данные.
Инструкции по настройке:
Развертывание прокси-сервера VirtualMetric Director
Разверните приложение-функцию Azure, которое служит безопасным прокси-сервером между VirtualMetric DataStream и Microsoft Sentinel.
Предварительные требования и порядок развертывания
Рекомендуемый порядок развертывания:
Для оптимальной конфигурации сначала рассмотрите возможность развертывания целевых соединителей:
Развертывание соединителя Microsoft Sentinel. Сначала разверните соединитель VirtualMetric DataStream для Microsoft Sentinel, чтобы создать необходимые конечные точки и правила сбора данных.
Развертывание соединителя озера данных Microsoft Sentinel (необязательно). При использовании Microsoft Sentinel таблиц озера данных разверните соединитель VirtualMetric DataStream для Microsoft Sentinel озера данных.
Развертывание прокси-сервера директора (этот шаг). Затем прокси-сервер директора можно настроить с помощью целевых Microsoft Sentinel. Примечание. Этот порядок рекомендуется, но не требуется. Прокси-сервер директора можно развернуть независимо и настроить с целевыми объектами позже.
Развертывание приложения-функции Azure
Разверните приложение-функцию Прокси-сервера Директора виртуальной метрики Azure с помощью кнопки Развернуть в Azure.
Развертывание в Azure:
- Нажмите кнопку Развернуть в Azure ниже, чтобы развернуть приложение-функцию:
- portal.azure.com
Настройка параметров развертывания:
- Подписка: выберите подписку Azure.
- Группа ресурсов. Выберите ту же группу ресурсов, что и рабочая область Microsoft Sentinel, или создайте новую.
- Регион: выберите регион Azure (должен соответствовать региону Microsoft Sentinel рабочей области).
- Имя приложения-функции. Укажите уникальное имя приложения-функции (например, vmetric-director-proxy).
Завершение развертывания:
- Нажмите кнопку Проверить и создать , чтобы проверить параметры.
- Нажмите кнопку Создать , чтобы развернуть приложение-функцию.
- Дождитесь завершения развертывания (обычно 3–5 минут)
- Обратите внимание на URL-адрес приложения-функции:
https://<function-app-name>.azurewebsites.net
Настройка разрешений приложения-функции
Назначьте управляемым удостоверениям приложения-функции необходимые разрешения для доступа к Microsoft Sentinel ресурсам.
Включение управляемого удостоверения System-Assigned:
- Перейдите к развернутой версии приложения-функции на портале Azure
- Перейдите в раздел Удостоверение в разделе Параметры.
- Переключение параметра Состояние в положение Включено для удостоверения, назначаемого системой
- Нажмите кнопку Сохранить и подтвердите
Перейдите в раздел Группа ресурсов:
- Перейдите в группу ресурсов, содержащую рабочую область Microsoft Sentinel и конечные точки сбора данных.
Назначение обязательных ролей:
- Управление доступом (IAM)
- Щелкните + Добавить > добавление назначения ролей.
- Назначьте следующие роли управляемому удостоверению приложения-функции, назначаемому системой:
- Издатель метрик мониторинга: для отправки данных в конечные точки сбора данных
- Средство чтения мониторинга: для чтения конфигурации правил сбора данных
Выберите идентификатор приложения-функции:
- На вкладке Участники выберите Управляемое удостоверение.
- Выберите приложение-функцию и выберите развернутый прокси-приложение-функцию директора.
- Завершение назначения роли
Получение маркера доступа приложения-функции (необязательно для проверки подлинности с помощью ключа функции):
- Перейдите к приложению-функции
- Перейдите к разделу "Ключи приложений" в разделе "Функции"
- Скопируйте ключ узла по умолчанию или создайте новый ключ функции для проверки подлинности.
Настройка интеграции с потоком данных VirtualMetric
Настройте VirtualMetric DataStream для отправки данных телеметрии безопасности в Microsoft Sentinel через прокси-сервер директора.
Доступ к конфигурации потока данных VirtualMetric:
- Войдите в консоль управления VirtualMetric DataStream
- Перейдите к разделу Целевые объекты
- Щелкните целевые объекты Microsoft Sentinel
- Щелкните Добавить новый целевой объект или измените существующий целевой объект Microsoft Sentinel.
Настройка общих параметров:
- Имя: введите имя целевого объекта (например, sentinel-with-proxy).
- Описание. При необходимости укажите описание целевой конфигурации.
Настройка проверки подлинности Azure. Для проверки подлинности субъекта-службы:
- Управляемое удостоверение для Azure: не отключено
- Идентификатор клиента: введите идентификатор клиента Azure Active Directory.
- Идентификатор клиента. Введите идентификатор приложения субъекта-службы.
- Секрет клиента. Введите секрет клиента субъекта-службы для управляемого удостоверения Azure:
- Управляемое удостоверение для Azure: включено.
Настройка прокси-сервера директора (на вкладке "Свойства Azure").
-
Адрес конечной точки. Введите URL-адрес приложения-функции из шага 2 (формат:
https://<function-app-name>.azurewebsites.net) - Маркер доступа. Введите ключ узла приложения-функции из шага 3 (необязательно, если используется управляемое удостоверение)
-
Адрес конечной точки. Введите URL-адрес приложения-функции из шага 2 (формат:
Настройка свойств Stream:
-
Конечная точка: введите URI приема журналов DCE (формат:
https://<dce-name>.<region>.ingest.monitor.azure.com) - Потоки. Выберите Автоматически для автоматического обнаружения потоков или настройте определенные потоки при необходимости.
-
Конечная точка: введите URI приема журналов DCE (формат:
Проверка приема данных в Microsoft Sentinel:
- Возврат к рабочей области Log Analytics
- Выполните примеры запросов, чтобы подтвердить получение данных:
CommonSecurityLog | where TimeGenerated > ago(1h) | take 10 - Проверьте панель мониторинга Microsoft Sentinel Обзор, чтобы узнать о новых источниках данных и количестве событий.
VMRayThreatIntelligence (с помощью Функции Azure)
Поддерживается:VMRay
Соединитель VMRayThreatIntelligence автоматически создает и передает аналитику угроз для всех отправлений в VMRay, улучшая обнаружение угроз и реагирование на инциденты в Sentinel. Такая простая интеграция позволяет командам упреждающе устранять возникающие угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуется ключ API VMRay .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API VMRay для извлечения операций ввода-вывода vmRay Threat ioCs в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных и хранение данных в Хранилище BLOB-объектов Azure затраты. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Развертывание соединителя аналитики угроз VMRay
Убедитесь, что у вас есть все необходимые компоненты: идентификатор клиента, идентификатор клиента, секрет клиента, ключ API VMRay и базовый URL-адрес VMRay.
Чтобы получить идентификатор клиента, секрет клиента и идентификатор клиента, следуйте этим инструкциям.
Для плана потребления Flex нажмите кнопку Развернуть в Azure ниже:
Для плана "Премиум" нажмите кнопку Развернуть в Azure ниже:
VMware Carbon Black Cloud через AWS S3 (с помощью платформы соединителей без кода)
Поддерживается:Майкрософт
Соединитель данных VMware Carbon Black Cloud через AWS S3 предоставляет возможность приема событий списка отслеживания, оповещений, проверки подлинности и конечных точек через AWS S3 и потоковой передачи их в нормализованные таблицы ASIM. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CarbonBlack_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Среда. Необходимо определить и настроить следующие ресурсы AWS: S3, Simple Queue Service (SQS), роли IAM и политики разрешений.
- Среда. Для создания контейнеров Данных, пересылаемых в AWS S3, необходимо иметь учетную запись сажи и необходимые разрешения. Дополнительные сведения см. в документации по серверу пересылки данных carbon black.
Инструкции по настройке:
- Развертывание AWS CloudFormation. Чтобы настроить доступ в AWS, были созданы два шаблона для настройки среды AWS для отправки журналов из контейнера S3 в рабочую область Log Analytics.
Для каждого шаблона создайте Stack в AWS:
- Перейдите к AWS CloudFormation Stacks
- В AWS выберите параметр "Отправить файл шаблона" и щелкните "Выбрать файл". Выберите скачанный шаблон
- Нажмите кнопки "Далее" и "Создать стек".
- Шаблон 1. Развертывание проверки подлинности OpenID Connect: <значение переменной, указанное во время установки>
- Шаблон 2. Развертывание ресурсов AWS Carbon Black: <переменное значение, указанное во время> установки При развертывании шаблона "Шаблон 2: развертывание ресурсов AWS Carbon Black" вам потребуется указать несколько параметров
- Имя стека: выбранное имя стека (будет отображаться в списке стеков в AWS).
- Имя роли: должно начинаться с префикса "OIDC_", имеет значение по умолчанию.
- Имя контейнера: имя контейнера по вашему выбору, если у вас уже есть контейнер, вставьте его здесь.
- CreateNewBucket. Если у вас уже есть контейнер, который вы хотите использовать для этого соединителя, выберите false для этого параметра, в противном случае контейнер с именем, введенным в поле Имя контейнера, будет создан из этого стека.
- Регион. Это регион ресурсов AWS, основанный на сопоставлении сажи. Дополнительные сведения см. в документации по углероду.
- SQSQueuePrefix: стек создает несколько очередей, этот префикс будет добавлен в каждую из них.
- WorkspaceID. Используйте идентификатор рабочей области, указанный ниже.
- Идентификатор рабочей области: <значение переменной, указанное во время> установки После завершения развертывания перейдите на вкладку "Выходные данные", вы увидите: ARN роли, контейнер S3 и 4 созданных ресурса SQS. Эти ресурсы потребуются на следующем шаге при настройке средств пересылки данных Carbon Black и соединителя данных.
Конфигурация сервера пересылки данных Carbon Black. После создания всех ресурсов AWS необходимо настроить carbon black для пересылки событий в контейнеры AWS для Microsoft Sentinel их приема. Следуйте документации по углероду, чтобы создать серверы пересылки данных Используйте первый рекомендуемый вариант. При запросе на ввод имени контейнера используйте контейнер, созданный на предыдущем шаге. Вам потребуется добавить префикс S3 для каждого сервера пересылки. Используйте следующее сопоставление:
Тип события Префикс S3 Оповещение Carbon-black-cloud-forwarder/Alerts События проверки подлинности carbon-black-cloud-forwarder/Auth События конечной точки carbon-black-cloud-forwarder/Endpoint Попадание в список просмотров carbon-black-cloud-forwarder/Watchlist
2.1. Протестируйте средство пересылки данных (необязательно). Чтобы убедиться, что средство пересылки данных настроено должным образом, на портале Carbon Black найдите только что созданное средство пересылки данных и нажмите кнопку "Тест пересылки" в столбце "Действия" и создайте файл HealthCheck в контейнере S3, вы должны увидеть его немедленно.
- Подключение новых сборщиков. Чтобы включить AWS S3 для Microsoft Sentinel, нажмите кнопку "Добавить новый сборщик", заполните необходимые сведения, на шаге 1 будут созданы роль ARN и URL-адрес SQS. Обратите внимание, что вам потребуется ввести правильный URL-адрес SQS и выбрать соответствующий тип события в раскрывающемся списке. Например, если вы хотите принять события оповещений, вам потребуется скопировать URL-адрес SQS Alerts и выбрать тип события Alerts в раскрывающийся список
- Сетка соединителей данных (настройка на портале)
События Windows DNS через AMA
Поддерживается корпорациейМайкрософт
Соединитель журналов Windows DNS позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявить проблемы и угрозы безопасности, такие как:
- Попытка устранения вредоносных доменных имен.
- Устаревшие записи ресурсов.
- Часто запрашиваются доменные имена и разговорчивые DNS-клиенты.
- Атаки, выполняемые на DNS-сервере.
Вы можете получить следующие аналитические сведения о DNS-серверах Windows из Microsoft Sentinel:
- Все журналы централизованы в одном месте.
- Загрузка запросов на DNS-серверы.
- Сбои динамической регистрации DNS.
События Windows DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее.
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimDnsActivityLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Брандмауэр Windows
Поддерживается корпорациейМайкрософт
Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета и блокирующие потенциально опасные программы. Программное обеспечение блокирует обмен данными между большинством программ через брандмауэр. Пользователи просто добавляют программу в список разрешенных программ, чтобы разрешить ей взаимодействовать через брандмауэр. При использовании общедоступной сети брандмауэр Windows также может защитить систему, блокируя все нежелательные попытки подключения к компьютеру. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
События брандмауэра Windows через AMA
Поддерживается корпорациейМайкрософт
Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета и блокирующие потенциально опасные программы. Программное обеспечение брандмауэра блокирует обмен данными между большинством программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure монитора (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel.
Настроенную конечную точку сбора данных (DCE) необходимо связать с правилом сбора данных (DCR), созданным для AMA для сбора журналов. Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий с помощью API. DcEs могут находиться в ресурсах с префиксом SentinelDCE в имени ресурса.
Дополнительные сведения см. в следующих статьях:
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Переадресованные события Windows
Поддерживается корпорациейМайкрософт
Вы можете выполнять потоковую передачу всех журналов переадресации событий Windows (WEF) с серверов Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента мониторинга Azure (AMA). Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
WindowsEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Безопасность Windows события через AMA
Поддерживается корпорациейМайкрософт
С помощью агента Windows можно выполнять потоковую передачу всех событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
API WithSecure Elements (функция Azure)
Поддерживается:WithSecure
WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности.
Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрыш, от целевых атак до программ-шантажистов нулевого дня.
WithSecure Elements объединяет в себе мощные прогнозные, профилактические и адаптивные возможности безопасности, которые управляются и отслеживаются с помощью единого центра безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу для развития. С нашим опытом и пониманием, вы всегда будете иметь возможности - и вы никогда не будете одиноки.
Интеграция Microsoft Sentinel позволяет сопоставлять данные о событиях безопасности из решения WithSecure Elements с данными из других источников, обеспечивая широкий обзор всей среды и ускоряя реакцию на угрозы.
В этом решении функция Azure развертывается в клиенте, периодически опрашивая события безопасности WithSecure Elements.
Дополнительные сведения см. на нашем веб-сайте по адресу : https://www.withsecure.com.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
WsSecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные клиента API ЭлементовSecure: необходимы учетные данные клиента. Дополнительные сведения см. в документации.
Инструкции по настройке:
1. Создание учетных данных API с помощью элементовSecure
Следуйте инструкциям в руководстве пользователя , чтобы создать учетные данные API элементов. Сохраните учетные данные в безопасном месте.
2. Создание приложения Microsoft Entra
Создайте новое приложение и учетные данные Microsoft Entra. Следуйте инструкциям и сохраните значения идентификатора каталога (клиента), идентификатора объекта, идентификатора приложения (клиента) и секрета клиента (из поля учетных данных клиента). Не забудьте хранить секрет клиента в безопасном месте.
3. Развертывание приложения-функции
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для извлечения журналов из WithSecure Elements. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение учетных данных клиента Microsoft Entra и учетных данных клиента API WithSecure Elements в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ВАЖНО: Перед развертыванием соединителя WithSecure Elements укажите имя рабочей области (можно скопировать из следующего кода), данные из Microsoft Entra (идентификатор каталога (клиента), идентификатор объекта, идентификатор приложения (клиента) и секрет клиента), а также учетные данные клиента WithSecure Elements, которые легко доступны.
- Имя рабочей области: <значение переменной, указанное во время установки>
Развертывание всех ресурсов, связанных с соединителем
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, Entra идентификатор клиента, Entra секрет клиента, Entra идентификатор клиента, идентификатор клиента API элементов, секрет клиента API элементов.
Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Можно также заполнить необязательные поля: URL-адрес API элементов, обработчик, группа обработчиков. Используйте значение по умолчанию URL-адрес API элементов, если у вас нет особых случаев. Подсистема и группа обработчиков сопоставляются с параметрами запроса событий безопасности, заполняйте эти параметры, если вы заинтересованы только в событиях из определенного обработчика или группы обработчиков, если вы хотите получать все события безопасности, оставляя поля со значениями по умолчанию. 5. Установите флажок Я принимаю указанные выше условия. 6. Щелкните Приобрести , чтобы развернуть.
Wiz (с помощью Функции Azure)
Поддерживается:Wiz
Соединитель Wiz позволяет легко отправлять проблемы Wiz, результаты уязвимостей и журналы аудита в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Нет | Нет |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Нет | Нет |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента учетной записи Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Инструкции см. в документации по Wiz.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель. Использует Функции Azure для подключения к API Wiz для извлечения проблем Wiz, обнаружения уязвимостей и журналов аудита в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure. Создает Azure Key Vault со всеми необходимыми параметрами, хранящимися в виде секретов.
ШАГ 1. Получение учетных данных Wiz
Следуйте инструкциям в документации по Wiz , чтобы получить запрашиваемые учетные данные.
ШАГ 2. Развертывание соединителя и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя Wiz у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также учетные данные Wiz из предыдущего шага.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Развертывание с помощью шаблона Azure Resource Manager (ARM)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие параметры:
Выберите KeyVaultName и FunctionName для новых ресурсов.
Введите следующие учетные данные Wiz из шага 1: WizAuthUrl, WizEndpointUrl, WizClientId и WizClientSecret
Введите учетные данные рабочей области AzureLogsAnalyticsWorkspaceId и AzureLogAnalyticsWorkspaceSharedKey.
Выберите типы данных Wiz, которые вы хотите отправить в Microsoft Sentinel, выберите по крайней мере один из параметров Проблемы Wiz, Результаты уязвимостей и Журналы аудита.
(необязательно) следуйте документации по Wiz , чтобы добавить IssuesQueryFilter, VulnerbailitiesQueryFilter и AuditLogsQueryFilter.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание функции Azure вручную
Следуйте документации по Wiz , чтобы развернуть соединитель вручную.
Активность пользователя Workday
Поддерживается корпорациейМайкрософт
Соединитель данных активности пользователя Workday предоставляет возможность приема журналов действий пользователей из API Workday в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimAuditEventLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Доступ к API активности пользователя Workday. Требуется доступ к API активности пользователя Workday через Oauth. Клиент API должен иметь область: System, и он должен быть авторизован учетной записью с разрешениями аудита системы.
Инструкции по настройке:
Подключитесь к Workday, чтобы начать сбор журналов действий пользователей в Microsoft Sentinel
- В Workday перейдите к задаче "Изменение настройки клиента — безопасность", проверьте раздел "Параметры OAuth 2.0", убедитесь, что флажок "Клиенты OAuth 2.0 включены" проверка.
- В Workday перейдите к задаче "Изменение настройки клиента — система", проверьте раздел "Ведение журнала действий пользователей", убедитесь, что флажок "Включить ведение журнала действий пользователей" проверка установлен.
- В Workday получите доступ к задаче "Регистрация клиента API".
- Определите имя клиента, выберите "Тип предоставления клиента": "Предоставление кода авторизации", а затем выберите "Тип маркера доступа": "Носитель"
- Введите URI перенаправления, указанный в приведенной ниже форме.
- В разделе "Область (функциональные области)" выберите "Система" и нажмите кнопку ОК внизу.
- Скопируйте идентификатор клиента и секрет клиента, прежде чем переходить со страницы, и сохраните их безопасно.
- В Sentinel на странице соединителя укажите необходимые конечные точки маркера, авторизации и журналов действий пользователей, а также идентификатор клиента и секрет клиента из предыдущего шага. Затем нажмите кнопку "Подключить".
- Появится всплывающее окно Workday для завершения проверки подлинности OAuth2 и авторизации клиента API. Здесь необходимо указать учетные данные для учетной записи Workday с разрешениями "Аудит системы" в Workday (может быть учетной записью Workday или пользователем системы интеграции).
- После этого отобразится сообщение для авторизации клиента API.
- Конечная точка токена: (https://wd2-impl-services1.workday.com/ccx/oauth2/{tenantName}/token)
- Конечная точка авторизации: (https://impl.workday.com/{tenantName}/authorize)
- **Конечная точка журналов действий пользователей, она заканчивается на /activityLogging **: (https://wd2-impl-services1.workday.com/ccx/api/privacy/v1/{tenantName}/activityLogging)
Рабочее место из Facebook (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Workplace предоставляет возможность приема распространенных событий Workplace в Microsoft Sentinel через веб-перехватчики. Веб-перехватчики позволяют пользовательским приложениям интеграции подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST с сведениями о событии отправляется на URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Workplace_Facebook_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения веб-перехватчиков: для рабочих веб-перехватчиков требуются WorkplaceAppSecret, WorkplaceVerifyToken, URL-адрес обратного вызова. Дополнительные сведения о настройке веб-перехватчиков и разрешениях см. в документации.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных использует Функции Azure на основе триггера HTTP для ожидания запросов POST с журналами для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, которая развертывается в составе решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Журналы, щелкните Функции и найдите псевдоним WorkplaceFacebook и загрузите код функции или щелкните здесь во второй строке запроса, введите имена узлов вашего рабочего Facebook устройства и другие уникальные идентификаторы для потока журнала. Обычно для активации функции требуется 10–15 минут после установки или обновления решения.
ШАГ 1. Шаги по настройке для рабочей области
Следуйте инструкциям по настройке веб-перехватчиков.
- Войдите в рабочую область с Администратор учетными данными пользователя.
- На панели Администратор щелкните Интеграции.
- В представлении Все интеграции щелкните Создать настраиваемую интеграцию.
- Введите имя и описание и нажмите кнопку Создать.
- На панели Сведения об интеграции выберите Секрет приложения и копирование.
- В области Разрешения интеграции задайте все разрешения на чтение. Дополнительные сведения см. на странице разрешений .
- Теперь перейдите к шагу 2, чтобы выполнить действия (перечисленные в варианте 1 или 2) для развертывания функции Azure.
- Введите запрошенные параметры, а также введите маркер по выбору. Скопируйте этот токен или запишите его для предстоящего шага.
- После успешного развертывания Функции Azure откройте страницу Приложение-функция, выберите свое приложение, перейдите в раздел Функции, нажмите кнопку Получить URL-адрес функции и скопируйте это / Запишите его для предстоящего шага.
- Назад в workplace из Facebook. На панели Настройка веб-перехватчиков на каждой вкладке задайте URL-адрес обратного вызова в качестве того же значения, которое вы скопировали в пункте 9 выше, и проверьте маркер как то же значение, скопированное в пункте 8 выше, которое было получено на шаге 2 Функции Azure развертывания.
- Нажмите кнопку Сохранить.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанный Функции Azure
ВАЖНО: Перед развертыванием соединителя данных Рабочей области необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Workplace с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите WorkplaceVerifyToken (может быть любым выражением, скопируйте и сохраните его для шага 1), WorkplaceAppSecret и развертывание. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть. 6. После развертывания откройте страницу Приложение-функция, выберите свое приложение, перейдите к разделу Функции и нажмите кнопку Получить URL-адрес функции , скопируйте его и следуйте п. 7 из шага 1.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Sophos Endpoint Protection с помощью Функции Azure (Развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
Платформа безопасности XBOW (через функцию Azure)
Поддерживается:XBOW
Соединитель данных XBOW выполняет прием моментальных снимков ресурсов, обнаружения уязвимостей и действий оценки из платформы безопасности XBOW в Microsoft Sentinel. Функция Azure опрашивает API XBOW по таймеру и отправляет моментальные снимки JSON ресурсов в XbowAssets_CL, обогащенные результаты (с доказательствами, рецептами poC, воздействием и устранением рисков) в XbowFindings_CL, а события жизненного цикла оценки — в XbowAssessments_CL, используя API Azure monitor ingestion (DCE/DCR).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
XbowAssets_CL |
Нет | Нет |
XbowFindings_CL |
Нет | Нет |
XbowAssessments_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Токен API XBOW. Требуется личный маркер доступа XBOW. Создайте его в консоли XBOW в разделе Параметры > Личные маркеры доступа. Окажите маркер организации, которую вы хотите отслеживать.
- Идентификатор организации XBOW. Идентификатор организации из учетной записи XBOW. Найдите его по URL-адресу консоли XBOW или через API.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Пользовательские предварительные требования при необходимости, в противном случае удалите этот тег таможни: Описание всех настраиваемых предварительных требований
- Azure AD регистрация приложений: требуется Azure AD регистрация приложений (субъект-служба). После развертывания необходимо вручную назначить этому приложению роль издателя метрик мониторинга в правиле сбора данных (DCR).
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure и API Azure monitor ingestion (DCE/DCR) для приема ресурсов, результатов и оценок XBOW в Microsoft Sentinel. Шаблон ARM автоматически создает конечную точку сбора данных, пользовательские таблицы журналов (
XbowAssets_CL,XbowFindings_CLиXbowAssessments_CL), правило сбора данных и приложение-функцию. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure и на странице цен Azure Монитор.
(Необязательный шаг) Безопасно храните маркер API XBOW и учетные данные регистрации приложений в Azure Key Vault. Следуйте этим инструкциям, чтобы использовать ссылки на Azure Key Vault в приложении-функции Azure.
ШАГ 1. Создание маркера API XBOW
- Войдите в консоль XBOW с правами администратора.
- Щелкните значок профиля (в правом верхнем углу) и выберите Параметры.
- На левой боковой панели щелкните Личные маркеры доступа.
- Щелкните Создать новый токен, укажите имя и выберите организацию, область.
- Скопируйте и безопасно сохраните маркер — он не будет отображаться снова.
- Запишите идентификатор организации из консоли XBOW или из URL-адреса при просмотре организации.
ШАГ 2. Создание регистрации приложения Azure AD и предоставление роли DCR
- На портале Azure перейдите к Azure Active Directory > Регистрация приложений > Новая регистрация.
- Укажите имя (например,
Xbow-Sentinel-Connector) и зарегистрируйтесь. - В разделе Сертификаты & секреты создайте секрет клиента. Обратите внимание на идентификатор клиента, идентификатор клиента и секрет клиента.
- Разверните соединитель, выполнив шаг 3 ниже, а затем вернитесь сюда.
- Откройте развернутый правило сбора данных (из выходных данных развертывания или выполнив поиск в группе ресурсов).
- Перейдите в раздел Управление доступом (IAM) > Добавление назначения ролей.
- Выберите роль Издатель метрик мониторинга.
- Назначьте доступ к созданной выше регистрации приложений (субъект-служба).
- Подождите несколько минут для распространения RBAC, прежде чем проверять прием.
ШАГ 3. Развертывание приложения-функции Azure
Нажмите кнопку Развернуть, чтобы Azure и введите параметры. Шаблон автоматически создаст конечную точку сбора данных, XbowAssets_CLтаблицы , XbowFindings_CLи XbowAssessments_CL , правило сбора данных и приложение-функцию.
Параметры для заполнения:
| Параметр | Описание |
|---|---|
WorkspaceName |
Имя рабочей области Log Analytics или Microsoft Sentinel |
XbowApiToken |
Личный маркер доступа XBOW из шага 1 |
XbowOrgId |
Идентификатор организации XBOW из шага 1 |
TenantId |
Azure AD идентификатор клиента из шага 2 |
ClientId |
Идентификатор клиента регистрации приложения из шага 2 |
ClientSecret |
Секрет клиента регистрации приложения из шага 2 |
AppInsightsWorkspaceResourceID |
Полный идентификатор ресурса рабочей области Log Analytics (из свойств рабочей области > Log Analytics) |
FunctionAppLocation |
Необязательный регион Azure для ресурсов приложения-функции (по умолчанию — расположение группы ресурсов) |
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
Zero Networks Segment (Push)
Поддерживается:Zero Networks
Соединитель push-уведомлений сегмента Zero Networks позволяет zero Networks отправлять аудиты, сетевые действия, действия удостоверений и действия RPC непосредственно в Microsoft Sentinel в режиме реального времени. Разверните соединитель, чтобы создать правило сбора данных (DCR) и Microsoft Entra приложение, а затем настройте приложение Zero Networks со сведениями о подключении для отправки событий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZNAudit_CL |
Да | Да |
ZNNetworkActivity_CL |
Да | Да |
ZNIdentityActivity_CL |
Да | Да |
ZNRPCActivity_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Инструкции по настройке:
1. Создание ресурсов ARM и предоставление необходимых разрешений
Разверните соединитель push-уведомлений, чтобы создать таблицу Log Analytics, правило сбора данных (DCR), конечную точку сбора данных (DCE) и приложение Microsoft Entra. Затем настройте приложение Zero Networks с помощью сведений о подключении.
Автоматическая конфигурация При нажатии кнопки "Развернуть" будут созданы DCR и DCE, а затем Microsoft Entra регистрации приложения с помощью секрета клиента и предоставления разрешений на DCR. Затем приложение может безопасно отправлять данные с помощью учетных данных клиента OAuth 2.0.
2. Настройка приложения Zero Networks
Используйте следующие значения, чтобы настроить приложение Zero Networks для отправки аудита, сетевых действий, удостоверений и действий RPC в Microsoft Sentinel.
- Идентификатор клиента (идентификатор каталога): <значение переменной, указанное во время установки>
- идентификатор приложения Entra: <значение переменной, указанное во время установки.>
- Entra секрет приложения: <значение переменной, указанное во время установки.>
- URI конечной точки сбора данных: <переменное значение, указанное во время установки>
- Неизменяемый идентификатор правила сбора данных: <значение переменной, указанное во время установки>
- Stream: Аудиты: <значение переменной, указанное во время установки>
- Stream: Сетевые действия: <значение переменной, указанное во время установки>
- Stream: Действия идентификации: <значение переменной, указанное во время установки>
- Stream: Действия RPC: <значение переменной, указанное во время установки>
Аудит сегментов нулевых сетей
Поддерживается:Zero Networks
Соединитель данных аудита сегментов нулевых сетей позволяет принимать события аудита нулевых сетей в Microsoft Sentinel с помощью REST API. Этот соединитель данных использует Microsoft Sentinel возможность собственного опроса.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Маркер API Zero Networks. Для REST API требуется ZeroNetworksAPIToken . Ознакомьтесь с руководством по API и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
Подключение "Нулевых сетей" к Microsoft Sentinel
Введите URL-адрес API Zero Networks (например, portal.zeronetworks.com). Соединитель автоматически добавляет https:// и /api/v1/audit. Затем введите ключ API и нажмите кнопку Подключить.
- URL-адрес API Zero Networks: (portal.zeronetworks.com)
- ApiKey: (ApiKey)
- Включение и отключение подключения
- Сетка соединителей данных (настройка на портале)
ZeroFox CTI
Поддерживается:ZeroFox
Соединители данных ZeroFox CTI предоставляют возможность приема различных оповещений об угрозах zeroFox в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Нет | Нет |
ZeroFox_CTI_botnet_CL |
Нет | Нет |
ZeroFox_CTI_breaches_CL |
Нет | Нет |
ZeroFox_CTI_C2_CL |
Нет | Нет |
ZeroFox_CTI_compromised_credentials_CL |
Нет | Нет |
ZeroFox_CTI_credit_cards_CL |
Нет | Нет |
ZeroFox_CTI_dark_web_CL |
Нет | Нет |
ZeroFox_CTI_discord_CL |
Нет | Нет |
ZeroFox_CTI_disruption_CL |
Нет | Нет |
ZeroFox_CTI_email_addresses_CL |
Нет | Нет |
ZeroFox_CTI_exploits_CL |
Нет | Нет |
ZeroFox_CTI_irc_CL |
Нет | Нет |
ZeroFox_CTI_malware_CL |
Нет | Нет |
ZeroFox_CTI_national_ids_CL |
Нет | Нет |
ZeroFox_CTI_phishing_CL |
Нет | Нет |
ZeroFox_CTI_phone_numbers_CL |
Нет | Нет |
ZeroFox_CTI_ransomware_CL |
Нет | Нет |
ZeroFox_CTI_telegram_CL |
Нет | Нет |
ZeroFox_CTI_threat_actors_CL |
Нет | Нет |
ZeroFox_CTI_vulnerabilities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуются для REST API ZeroFox CTI.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к REST API CTI ZeroFox для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Получение учетных данных ZeroFox:
Следуйте этим инструкциям, чтобы настроить ведение журнала и получить учетные данные.
- Войдите на веб-сайт ZeroFox. использование имени пользователя и пароля 2. Нажмите кнопку Параметры и перейдите в раздел Соединители данных. 3. Перейдите на вкладку ВЕБ-каналы данных API и перейдите в нижнюю часть страницы, выберите <<Сброс>> в поле Сведения об API, чтобы получить личный маркер доступа, который будет использоваться вместе с именем пользователя.
ШАГ 2. Развертывание соединителей данных функции Azure с помощью шаблона Azure Resource Manager:
ВАЖНО: Перед развертыванием соединителя данных ZeroFox CTI необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Подготовка ресурсов к развертыванию.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов, рабочую область Log Analytics и Расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя пользователя ZeroFox, личный маркер доступа ZeroFox.
Нажмите кнопку Проверить и создать , чтобы развернуть.
ZeroFox Enterprise — оповещения (опрос CCF)
Поддерживается:ZeroFox
Собирает оповещения из API ZeroFox.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZeroFoxAlertPoller_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- ZeroFox Personal Access Token (PAT): требуется Pat ZeroFox. Его можно получить в веб-каналах данных API соединителей> данных.
Инструкции по настройке:
Подключение ZeroFox к Microsoft Sentinel
Подключение ZeroFox к Microsoft Sentinel
- Укажите pat для ZeroFox: (Zerofox PAT)
- Включение и отключение подключения
Zimperium Mobile Threat Defense
Поддерживается:Zimperium
Соединитель Zimperium Mobile Threat Defense позволяет подключать журнал угроз Zimperium к Microsoft Sentinel для просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования. Это дает вам больше сведений о ландшафте мобильных угроз вашей организации и расширяет возможности операций по обеспечению безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZimperiumThreatLog_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Инструкции по настройке:
Настройка и подключение Zimperium MTD
- В zConsole щелкните Управление на панели навигации.
- Перейдите на вкладку Интеграции .
- Нажмите кнопку Отчеты об угрозах, а затем кнопку Добавить интеграции .
- Создайте интеграцию:
- В списке доступных интеграций выберите Microsoft Microsoft Sentinel.
- Введите идентификатор рабочей области и первичный ключ в полях ниже, нажмите кнопку Далее.
- Введите имя для интеграции Microsoft Sentinel.
- Выберите уровень фильтра для данных об угрозах, которые необходимо отправить в Microsoft Sentinel.
- Нажмите кнопку Готово.
- Дополнительные инструкции см. на портале поддержки клиентов Zimperium.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Масштаб отчетов (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных "Отчеты о масштабировании" предоставляет возможность принимать события отчетов о масштабах в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Zoom_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: для API масштабирования требуются AccountID, ClientID и ClientSecret . Дополнительные сведения см. в разделе API масштабирования. Следуйте инструкциям для конфигураций API масштабирования.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API масштабирования для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, которая развертывается в составе решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Журналы, щелкните Функции и найдите псевдоним Масштаб и загрузите код функции или щелкните здесь. Обычно для активации функции требуется 10–15 минут после установки или обновления решения.
Шаг 1. Действия по настройке ДЛЯ API масштабирования
Следуйте инструкциям, чтобы получить учетные данные.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных "Отчеты о масштабах" необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных zoom Audit с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, Function Name (Имя функции ) и нажмите кнопку Проверить и создать. 4. Наконец, щелкните Создать , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных "Отчеты о масштабах" с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, ZoomXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Шаг 2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): AccountID ClientId ClientSecret WorkspaceID Рабочая областьКлючевой журнал LogAnalyticsUri (необязательно) Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us. - После ввода всех параметров приложения нажмите кнопку Сохранить.
Масштаб соединителя отчетов (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных "Отчеты о масштабировании" позволяет принимать данные отчетов о масштабах в Microsoft Sentinel с помощью REST API масштабирования версии 2, что позволяет отслеживать и проверять использование масштаба в организации. Этот соединитель использует учетные данные учетной записи OAuth между серверами для проверки подлинности и поддерживает прием отчетов нескольких типов, включая отчеты о ежедневном использовании для статистики собраний и метрик использования, Отчеты пользователей для сведений об активном или неактивном узле пользователя, Отчеты телефонии для статистики использования телефонии, Отчеты об использовании облачной записи для использования облачного хранилища и записи, журналы операций для административных операций и журнал аудита. и журналы действий для действий входа и выхода пользователей. Каждый тип отчета собирается в отдельной конфигурации опроса с поддержкой автоматического разбиения на страницы с помощью NextPageToken. Соединитель данных основан на Microsoft Sentinel codeless Connector Framework и поддерживает преобразования времени приема на основе DCR для оптимизации производительности запросов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZoomV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Доступ к API масштабирования: доступ к REST API zoom версии 2 с учетными данными учетной записи
Инструкции по настройке:
1. Конфигурация масштабирования
Настройка приложения OAuth между серверами и сбор учетных данных
Шаг 1. Настройка приложения OAuth для масштабирования между серверами и следуйте инструкциям по созданию приложения. Обязательно добавьте в приложение области, связанные с отчетами:
- report:read:list_users:admin
- report:read:cloud_recording:admin
- report:read:daily_usage:admin
- report:read:operation_logs:admin
- report:read:telephone:admin
- report:read:user_activities:admin
Дополнительные сведения см. в статье Масштабирование между серверами OAuth документации и API отчетов.
Шаг 2. Получение учетных данных приложения
Найдите учетные данные приложения (идентификатор учетной записи, идентификатор клиента и секрет клиента) на странице Personal app management в Zoom App Marketplace
Заметки о безопасности
Безопасное хранение идентификатора учетной записи, идентификатора клиента и секрета клиента
Регулярная смена учетных данных для повышения безопасности
- Идентификатор клиента: (идентификатор клиента приложения zoom)
- Секрет клиента: (масштаб секрета клиента приложения)
- Идентификатор учетной записи: (идентификатор учетной записи масштаба)
- Базовый URL-адрес токена: (https://zoom.us/oauth/token)
- Базовый URL-адрес API: (https://api.zoom.us/v2)
2. Подключение
Включение соединителя отчетов о масштабировании
Активация соединителя
Просмотрите учетные данные приложения zoom, найденные на шаге 2, а затем включите соединитель, чтобы начать сбор данных отчетов о масштабах.
Мониторинг
Проверьте поступление данных с помощью следующих запросов:
Проверьте все типы отчетов:
ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType
Проверьте определенный тип отчета:
ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10
Мониторинг работоспособности соединителя:
ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc
- Включение и отключение подключения
Нерекомендуемые соединители данных Sentinel
Примечание.
В следующей таблице перечислены устаревшие и устаревшие соединители данных. Устаревшие соединители больше не поддерживаются.
[Не рекомендуется] Журналы Auth0 (с помощью функции Azure) (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных журналов Auth0 (с помощью функции Azure) предоставляет возможность приема событий журнала Auth0 в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Auth0AM_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе Токен API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API-интерфейсам управления Auth0 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Шаги по настройке API управления Auth0
Следуйте инструкциям, чтобы получить учетные данные.
- На панели мониторинга Auth0 перейдите в раздел Приложения>.
- Выберите приложение. Это должно быть приложение "компьютер — компьютер", настроенное по крайней мере с разрешениями read:logs и read:logs_users .
- Копирование домена, идентификатора клиента, секрета клиента
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Управления доступом Auth0 у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Управления доступом Auth0 с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите Domain, ClientID, Client Secret, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Управления доступом Auth0 с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, Auth0AMXXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
[Не рекомендуется] Журнал аудита GitHub Enterprise
Поддерживается корпорациейМайкрософт
Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания пользовательских оповещений и улучшения процесса исследования.
Примечание: Если вы планируете принимать события, подписанные на GitHub, в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных".
ПРИМЕЧАНИЕ. Этот соединитель данных устарел. Рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через нерекомендуемый API сборщика данных HTTP.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GitHubAuditLogPolling_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Личный маркер доступа API GitHub. Для включения опроса журнала аудита организации требуется личный маркер доступа GitHub. Вы можете использовать либо классический маркер с область read:org, либо детализированный маркер с область "Администрирование: только для чтения".
- Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.
Инструкции по настройке:
Подключение журнала аудита уровня организации GitHub Enterprise к Microsoft Sentinel
Включите журналы аудита GitHub. Следуйте этому руководству , чтобы создать или найти личный маркер доступа.
[Не рекомендуется] Infoblox SOC Insight Data Connector через устаревший агент
Поддерживается:Infoblox
Соединитель infoblox SOC Insight Data Connector позволяет легко подключить данные INFOblox BloxOne SOC Insight к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных отправляет журналы CDC Infoblox SOC Insight в рабочую область Log Analytics с помощью устаревшего агента Log Analytics.
Корпорация Майкрософт рекомендует установить Infoblox SOC Insight Data Connector через соединитель AMA. Устаревший соединитель использует агент Log Analytics, который будет нерекомендуемым до 31 августа 2024 г . и должен быть установлен только в том случае, если AMA не поддерживается.
Использование MMA и AMA на одном компьютере может привести к дублированию журнала и дополнительным затратам на прием. Дополнительные сведения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Инструкции по настройке:
Ключи рабочей области
Чтобы использовать сборники схем в рамках этого решения, найдите идентификатор рабочей области и первичный ключ рабочей области ниже для удобства.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Ключ рабочей области: <значение переменной, указанное во время установки>
Парсеров
Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать должным образом, вызываемая InfobloxCDC_SOCInsights, которая развертывается вместе с решением Microsoft Sentinel.
SOC Insights
Этот соединитель данных предполагает, что у вас есть доступ к SOC Insights Infoblox BloxOne Threat Defense. Дополнительные сведения о SOC Insights можно найти здесь.
Infoblox Cloud Data Connector
Этот соединитель данных предполагает, что узел Соединителя данных Infoblox уже создан и настроен на портале Infoblox Облачные службы (CSP). Так как Соединитель данных Infoblox является функцией BloxOne Threat Defense, требуется доступ к соответствующей подписке BloxOne Threat Defense. Дополнительные сведения и требования к лицензированию см. в этом кратком руководстве .
1. Linux конфигурации агента syslog
Установите и настройте агент Linux для сбора сообщений системного журнала CEF и их пересылки в Microsoft Sentinel.
Обратите внимание, что данные из всех регионов будут храниться в выбранной рабочей области.
1.1. Выбор или создание Linux компьютера
Выберите или создайте компьютер Linux, который Microsoft Sentinel будет использовать в качестве прокси-сервера между решением безопасности и Microsoft Sentinel этот компьютер может находиться в локальной среде, Azure или других облаках.
1.2. Установка сборщика CEF на Linux компьютере
Установите microsoft Monitoring Agent на Linux компьютере и настройте компьютер для прослушивания необходимого порта и пересылки сообщений в рабочую область Microsoft Sentinel. Сборщик CEF собирает сообщения CEF через порт TCP 514.
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version.
На компьютере должны быть повышенные разрешения (sudo).
- Выполните следующую команду, чтобы установить и применить значение переменной CEF сборщика:: <, указанное во время установки.>
2. На портале Infoblox Облачные службы настройте Infoblox BloxOne для отправки данных системного журнала CEF в Infoblox Cloud Data Connector для пересылки агенту syslog.
Выполните следующие действия, чтобы настроить Infoblox CDC для отправки данных BloxOne в Microsoft Sentinel через агент syslog Linux.
- Перейдите в раздел Управление > соединителем данных.
- Щелкните вкладку Конфигурация назначения в верхней части окна.
- Щелкните Создать > системный журнал.
- Имя. Присвойте новому назначению понятное имя, например Microsoft-Sentinel-Destination.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для параметра состояние Включено.
- Формат: задайте для формата значение CEF.
- Полное доменное имя/IP: введите IP-адрес Linux устройства, на котором установлен агент Linux.
- Порт: оставьте номер порта 514.
- Протокол. Выберите требуемый протокол и сертификат ЦС, если применимо.
- Нажмите кнопку Сохранить & Закрыть.
- Щелкните вкладку Конфигурация потока трафика в верхней части окна.
- Щелкните Создать.
- Имя. Присвойте новому потоку трафика понятное имя, например Microsoft-Sentinel-Flow.
- Описание. При необходимости присвойте ему понятное описание.
- Состояние: задайте для параметра состояние Включено.
- Разверните раздел Экземпляр службы .
- Экземпляр службы. Выберите нужный экземпляр службы, для которого включена служба соединителя данных.
- Разверните раздел Конфигурация источника .
- Источник. Выберите BloxOne Cloud Source.
- Выберите тип журнала внутренних уведомлений .
- Разверните раздел Конфигурация назначения .
- Выберите только что созданное назначение .
- Нажмите кнопку Сохранить & Закрыть.
- Разрешите настройке некоторое время для активации.
3. Проверка подключения
Следуйте инструкциям, чтобы проверить подключение.
Откройте Log Analytics, чтобы проверка, если журналы получены с помощью схемы CommonSecurityLog.
Подключение может занять около 20 минут, пока подключение будет передавать данные в рабочую область.
Если журналы не получены, выполните следующий сценарий проверки подключения:
Убедитесь, что на компьютере есть Python, используя следующую команду: python -version
На компьютере должны быть повышенные разрешения (sudo)
- Выполните следующую команду, чтобы проверить подключение:: <значение переменной, указанное во время установки>
**4. Защита компьютера **
Убедитесь, что безопасность компьютера настроена в соответствии с политикой безопасности вашей организации.
[Не рекомендуется] Журналы безопасности IONIX (push)
Поддерживается:IONIX
⚠️ Этот соединитель устарел и будет удален в июне 2026 г. Вместо этого используйте новый соединитель "Журналы безопасности IONIX (через платформу соединителя без кода)", который обеспечивает автоматическое ежедневное опросы без необходимости настройки вручную на портале IONIX.
Соединитель данных журналов безопасности IONIX отправляет журналы из системы IONIX непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты, а также улучшать исследования безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberpionActionItems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Подписка IONIX: для журналов IONIX требуется подписка и учетная запись. Его можно приобрести здесь.
Инструкции по настройке:
Следуйте инструкциям по интеграции оповещений системы безопасности IONIX в Sentinel.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
[Не рекомендуется] Смотровой
Поддерживается:Lookout
Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API . Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое.
ПРИМЕЧАНИЕ. Этот соединитель данных устарел. Рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через нерекомендуемый API сборщика данных HTTP.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Lookout_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения API мобильных рисков. Для API рисков для мобильных устройств требуется EnterpriseName & ApiKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель данных Lookout использует Функции Azure для подключения к API мобильных рисков для извлечения событий в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы в соответствии с ожидаемыми lookoutEvents, развернутыми с решением Microsoft Sentinel.
Шаг 1. Шаги по настройке API мобильных рисков
Следуйте инструкциям, чтобы получить учетные данные.
Шаг 2. Следуйте приведенным ниже инструкциям по развертыванию соединителя данных Lookout и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя данных Lookout убедитесь, что идентификатор рабочей области и ключ рабочей области готовы (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Ключ рабочей области: <значение переменной, указанное во время установки>
Шаблон Azure Resource Manager (ARM)
Выполните следующие действия для автоматического развертывания соединителя данных Lookout с помощью шаблона ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите имя функции, идентификатор рабочей области,ключ рабочей области, имя предприятия & ключ API и разверните. 4. Нажмите кнопку Создать , чтобы развернуть.
[Не рекомендуется] Журналы и события Microsoft Exchange
Поддерживается:Community
Не рекомендуется использовать соединители данных ESI-Opt. С помощью агента Windows можно выполнять потоковую передачу всех событий аудита Exchange, журналов IIS, журналов прокси-сервера HTTP и журналов событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Он используется в книгах безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
SecurityEvent |
Да | Да |
W3CIISLog |
Да | Нет |
MessageTrackingLog_CL |
Да | Да |
ExchangeHttpProxy_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure Log Analytics будет не рекомендуется использовать, для сбора данных с виртуальных машин, не Azure, рекомендуется Azure Arc. Подробнее
- Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Это решение основано на параметрах. Это позволяет выбрать, какие данные будут приниматься, так как некоторые параметры могут создавать очень большой объем данных. В зависимости от того, что вы хотите собрать, отслеживайте в книгах, правилах аналитики, возможностях охоты, которые вы будете развертывать. Каждый из параметров не зависит от другого. Дополнительные сведения о каждом из вариантов см. на вики-сайте "Безопасность Microsoft Exchange".
1. Скачайте и установите агенты, необходимые для сбора журналов для Microsoft Sentinel
Тип серверов (Серверы Exchange, контроллеры домена, связанные с Серверами Exchange Server или все контроллеры домена) зависит от параметра, который требуется развернуть.
Развертывание агентов мониторинга
Этот шаг необходим только при первом подключении серверов Exchange Server или контроллеров домена.
Выберите агент, который нужно установить на серверах для сбора журналов:
[Предпочтимая] Агент мониторинга Azure через Azure Arc
Развертывание агента Azure Arc Подробнее
Установка агента Log Analytics Azure (не рекомендуется 31.08.2024 г.)
- Скачайте агент Azure Log Analytics и выберите метод развертывания по ссылке ниже.
- Агент установки: <значение переменной, указанное во время установки>
2. Развертывание log injestion с выбранными параметрами
[Вариант 1] Сбор журналов управления MS Exchange
Выбор способа потоковой передачи журналов событий Администратор аудита MS Exchange
Журналы событий аудита Администратор MS Exchange
Правила сбора данных — при использовании агента мониторинга Azure
Включение правила сбора данных Microsoft Exchange Администратор журналы событий аудита собираются только из агентов Windows.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания DCR.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCR, тип журнала событий
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля, выберите Windows в качестве типа платформы и присвойте имя DCR.
- На вкладке Ресурсы введите серверы Exchange Server.
- В разделе "Сбор и доставка" добавьте тип источника данных "Журналы событий Windows" и выберите параметр "Пользовательский", введите "Управление MSExchange" в качестве выражения и добавьте его.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Правила сбора данных — при использовании агента Log Analytics прежних версий Azure
Настройка собираемых журналов
Настройте события, которые требуется собрать, и их серьезность.
- В разделе Управление устаревшими агентами рабочей области выберите Журналы событий Windows.
- Щелкните Добавить журнал событий Windows и введите MSExchange Management в качестве имени журнала.
- Сбор типов ошибок, предупреждений и сведений
- Нажмите кнопку Сохранить.
- Агент установки: <значение переменной, указанное во время установки>
[Вариант 2] Журналы безопасности, приложений и системных серверов Exchange Server
Выбор способа потоковой передачи журналов безопасности, приложений и систем exchange Server
Сбор журналов событий безопасности
Правила сбора данных — журналы событий безопасности
Включить правило сбора данных для журналов безопасности Журналы безопасности Журналы событий безопасности собираются только из агентов Windows .
- Добавьте серверы Exchange Server на вкладке Ресурсы .
- Выбор уровня журнала безопасности
Общий уровень — это минимальный обязательный уровень. Выберите "Общие" или "Все события безопасности" в определении DCR.
- Агент установки: <значение переменной, указанное во время установки>
Сбор журналов приложений и системных событий
Правила сбора данных — при использовании агента мониторинга Azure
Включить правило сбора данных Журналы событий приложения и системы собираются только из агентов Windows .
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания DCR.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCR, тип журнала событий
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля, выберите Windows в качестве типа платформы и присвойте имя DCR.
- На вкладке Ресурсы введите серверы Exchange Server.
- В разделе "Сбор и доставка" добавьте тип источника данных "Журналы событий Windows" и выберите параметр "Базовый".
- Для параметра Приложение выберите "Критический", "Ошибка" и "Предупреждение". Для параметра Система выберите Критический/Ошибка/Предупреждение/Информация.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Правила сбора данных — при использовании агента Log Analytics прежних версий Azure
Настройка собираемых журналов
Настройте события, которые требуется собрать, и их серьезность.
- В разделе Конфигурация дополнительных параметров рабочей области выберите Данные, а затем журналы событий Windows.
- Щелкните Добавить журнал событий Windows и найдите приложение в качестве имени журнала.
- Щелкните Добавить журнал событий Windows и выполните поиск по системе в качестве имени журнала.
- Сбор ошибок (для всех), предупреждение (для всех) и информация (для системных) типов
- Нажмите кнопку Сохранить.
- Агент установки: <значение переменной, указанное во время установки>
[Варианты 3 и 4] Журналы безопасности контроллеров домена
Выберите способ потоковой передачи журналов безопасности контроллеров домена. Если вы хотите реализовать вариант 3, необходимо просто выбрать контроллер домена на том же сайте, что и серверы Exchange Server. Если вы хотите реализовать вариант 4, можно выбрать все контроллеры домена леса.
[Вариант 3] Вывод списка только контроллеров домена на том же сайте, что и серверы Exchange Server для следующего шага
Это ограничивает количество передаваемых данных, но некоторые инциденты не могут быть обнаружены.
[Вариант 4] Перечисление всех контроллеров домена леса Active-Directory для следующего шага
Это позволяет собирать все события безопасности
Сбор журналов событий безопасности
Правила сбора данных — журналы событий безопасности
Включить правило сбора данных для журналов безопасности Журналы безопасности Журналы событий безопасности собираются только из агентов Windows .
- Добавьте выбранные контроллеры домена на вкладку Ресурсы .
- Выбор уровня журнала безопасности
Общий уровень — это минимальный обязательный уровень. Выберите "Общие" или "Все события безопасности" в определении DCR.
- Агент установки: <значение переменной, указанное во время установки>
[Вариант 5] Журналы IIS серверов Exchange Server
Выбор способа потоковой передачи журналов IIS серверов Exchange Server
Правила сбора данных — при использовании агента мониторинга Azure
Журналы IIS для включения правила сбора данных собираются только из агентов Windows .
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания DCE и DCR.
О. Создание DCE (если еще не создано для серверов Exchange Server)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Вы можете изменить предлагаемое имя DCE.
Нажмите кнопку Создать , чтобы развернуть.
Б. Развертывание правила подключения к данным
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCE (если еще не создано для серверов Exchange Server)
- На портале Azure перейдите к конечной точке сбора данных Azure.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя DCE.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Создание DCR, введите журнал IIS
- На портале Azure перейдите к Azure правила сбора данных.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля, выберите Windows в качестве типа платформы и присвойте имя DCR. Выберите созданный DCE.
- На вкладке Ресурсы введите серверы Exchange Server.
- В разделе "Сбор и доставка" добавьте тип источника данных "Журналы IIS" (не вводите путь, если путь к журналам IIS настроен по умолчанию). Щелкните "Добавить источник данных"
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Правила сбора данных — при использовании агента Log Analytics прежних версий Azure
Настройка собираемых журналов
Настройте события, которые требуется собрать, и их серьезность.
- В разделе Конфигурация дополнительных параметров рабочей области выберите Данные, а затем Журналы IIS.
- Установите флажок Сбор файлов журнала IIS в формате W3C
- Нажмите кнопку Сохранить.
- Агент установки: <значение переменной, указанное во время установки>
[Вариант 6] Отслеживание сообщений серверов Exchange Server
Выбор способа потоковой передачи отслеживания сообщений серверов Exchange Server
Правила сбора данных — при использовании агента мониторинга Azure
Включить правило сбора данных Отслеживание сообщений собирается только из агентов Windows .
Примечание. Внимание, пользовательские журналы в агенте мониторинга доступны в предварительной версии. Развертывание не работает должным образом на данный момент (март 2023 г.).
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания DCE и DCR.
О. Создание DCE (если еще не создано для серверов Exchange Server)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Вы можете изменить предлагаемое имя DCE.
Нажмите кнопку Создать , чтобы развернуть.
Б. Развертывание правила подключения к данным и настраиваемой таблицы
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCE (если еще не создано для серверов Exchange Server)
- На портале Azure перейдите к конечной точке сбора данных Azure.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя DCE, например ESI-ExchangeServers.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Создание настраиваемой таблицы DCR
Скачайте файл примера из Microsoft Sentinel GitHub.
На портале Azure перейдите в раздел Аналитика рабочих областей и выберите целевую рабочую область.
Щелкните "Таблицы", щелкните + Создать в верхней части окна и выберите Создать пользовательский журнал (на основе DCR).
На вкладке Основные сведения введите MessageTrackingLog в поле Имя таблицы, создайте правило сбора данных с именем DCR-Option6-MessageTrackingLogs (например) и выберите ранее созданную конечную точку сбора данных.
На вкладке Схема и преобразование выберите скачанный пример файла и щелкните Редактор преобразований.
В поле преобразования введите следующий запрос KQL: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
Нажмите кнопку "Выполнить" и после "Применить".
Нажмите кнопку Далее, а затем нажмите кнопку Создать.
C. Изменение созданного DCR, тип настраиваемого журнала
- На портале Azure перейдите к Azure правила сбора данных.
- Выберите ранее созданный DCR, например DCR-Option6-MessageTrackingLogs.
- На вкладке Ресурсы введите серверы Exchange Server.
- В поле Источники данных добавьте тип источника данных "Настраиваемые текстовые журналы" и введите "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" в шаблоне файла , "MessageTrackingLog_CL" в поле Имя таблицы. 6.in поле Transform введите следующий запрос KQL: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
- Щелкните "Добавить источник данных".
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Правила сбора данных — при использовании агента Log Analytics прежних версий Azure
Настройка собираемых журналов
- В разделе Параметры рабочей области выберите Таблицы, щелкните + Создать и щелкните Создать пользовательский журнал (НА основе MMA).
- Выберите Пример файла MessageTracking и нажмите кнопку Далее.
- Выберите введите Windows и введите путь C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log. Нажмите кнопку "Далее".
- Введите MessageTrackingLog в качестве имени таблицы и нажмите кнопку Далее.
- Нажмите кнопку Сохранить.
- Агент установки: <значение переменной, указанное во время установки>
[Вариант 7] Прокси-сервер HTTP для серверов Exchange Server
Выбор способа потоковой передачи прокси-сервера HTTP для серверов Exchange Server
Правила сбора данных — при использовании агента мониторинга Azure
Включить правило сбора данных Отслеживание сообщений собирается только из агентов Windows .
Примечание. Внимание, пользовательские журналы в агенте мониторинга доступны в предварительной версии. Развертывание не работает должным образом на данный момент (март 2023 г.).
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания DCE и DCR.
О. Создание DCE (если еще не создано для серверов Exchange Server)
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Вы можете изменить предлагаемое имя DCE.
Нажмите кнопку Создать , чтобы развернуть.
Б. Развертывание правила подключения к данным
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области "и/или Другие обязательные поля".
Установите флажок С меткой Я принимаю указанные выше условия.
Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание служба автоматизации Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть правило сбора данных.
О. Создание DCE (если еще не создано для серверов Exchange Server)
- На портале Azure перейдите к конечной точке сбора данных Azure.
- Нажмите кнопку + Создать в верхней части окна.
- На вкладке Основные сведения заполните обязательные поля и присвойте имя DCE.
- При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку Создать.
Б. Создание настраиваемой таблицы DCR
- Скачайте файл примера из Microsoft Sentinel GitHub.
- На портале Azure перейдите в раздел Аналитика рабочих областей и выберите целевую рабочую область.
- Щелкните "Таблицы", щелкните + Создать в верхней части окна и выберите Создать пользовательский журнал (на основе DCR).
- На вкладке Основные сведения введите ExchangeHttpProxy в поле Имя таблицы, создайте правило сбора данных с именем DCR-Option7-HTTPProxyLogs (например) и выберите ранее созданную конечную точку сбора данных.
- На вкладке Схема и преобразование выберите скачанный пример файла и щелкните Редактор преобразований.
- В поле преобразования введите следующий запрос KQL: *source | extend TimeGenerated = todatetime(DateTime) | проект-away DateTime
- Нажмите кнопку "Выполнить" и после "Применить".
- Нажмите кнопку Далее, а затем нажмите кнопку Создать.
C. Изменение созданного DCR, тип настраиваемого журнала
- На портале Azure перейдите к Azure правила сбора данных.
- Выберите ранее созданный DCR, например DCR-Option7-HTTPProxyLogs.
- На вкладке Ресурсы введите серверы Exchange Server.
- В поле Источники данных добавьте тип источника данных "Пользовательские текстовые журналы" и введите "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log" в шаблоне файла "ExchangeHttpProxy_CL" в поле Имя таблицы. 6.in поле Преобразование введите следующий запрос KQL: source | extend TimeGenerated = todatetime(DateTime) | project-away DateTimeTime
- Щелкните "Добавить источник данных".
Назначение DCR всем серверам Exchange
Добавление всех серверов Exchange в DCR
Правила сбора данных — при использовании агента Log Analytics прежних версий Azure
Настройка собираемых журналов
- В разделе Параметры рабочей области выберите Таблицы, щелкните + Создать и щелкните Создать пользовательский журнал (НА основе MMA).
- Выберите Пример файла MessageTracking и нажмите кнопку Далее.
- Выберите тип Windows и введите все следующие пути C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log и C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . Нажмите кнопку "Далее".
- Введите ExchangeHttpProxy в качестве имени таблицы и нажмите кнопку Далее.
- Нажмите кнопку Сохранить.
- Агент установки: <значение переменной, указанное во время установки>
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, для работы должным образом. Средства синтаксического анализа автоматически развертываются вместе с решением. Выполните действия, чтобы создать псевдоним Функций Kusto : ExchangeAdminAuditLogs
Средства синтаксического анализа автоматически развертываются во время развертывания решения. Если вы хотите выполнить развертывание вручную, выполните указанные ниже действия.
Развертывание средства синтаксического анализа вручную
1. Скачивание файла средства синтаксического анализа
Последняя версия файла ExchangeAdminAuditLogs
2. Создание функции Parser ExchangeAdminAuditLogs
Скопируйте содержимое файла в проводнике log analytics Microsoft Sentinel в проводник журналов.
3. Сохранение функции parser ExchangeAdminAuditLogs
Нажмите кнопку сохранить. Для этого средства синтаксического анализа параметр не требуется. Нажмите кнопку Сохранить еще раз.
[Не рекомендуется] Okta Single Sign-On (с помощью функции Azure) (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель Okta Single Sign-On (SSO) (с помощью функции Azure) предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Okta_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Токен API Okta. Требуется маркер API Okta. Дополнительные сведения об API системных журналов Okta см. в документации.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к Okta SSO для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
ПРИМЕЧАНИЕ: Этот соединитель обновлен. Если вы ранее развернули более раннюю версию и хотите обновить, удалите существующую функцию Okta Azure перед развертыванием этой версии.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по настройке API единого входа Okta
Следуйте этим инструкциям, чтобы создать токен API.
Примечание. Дополнительные сведения об ограничениях скорости, применяемых Okta, см. в документации.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя единого входа Okta необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации API Okta SSO.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя единого входа Okta с помощью arm Tempate.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, токен API и URI.
- Используйте следующую схему для
uriзначения:https://<OktaDomain>/api/v1/logs?since=Замените<OktaDomain>своим доменом. Щелкните здесь для получения дополнительных сведений о том, как определить пространство имен домена Okta. Нет необходимости добавлять значение времени в URI. Приложение-функция динамически добавит начальное время начала журналов в формате UTC 0:00 для текущей даты в формате UTC в качестве значения времени в URI в правильном формате. - Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель единого входа Okta с помощью Функции Azure (развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите + Новый параметр приложения.
- Добавьте каждый из следующих пяти (5) параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): apiToken workspaceID workspaceKey uri logAnalyticsUri (необязательно)
- Используйте следующую схему для
uriзначения:https://<OktaDomain>/api/v1/logs?since=Замените<OktaDomain>своим доменом. Щелкните здесь для получения дополнительных сведений о том, как определить пространство имен домена Okta. Нет необходимости добавлять значение времени в URI. Приложение-функция динамически добавит начальное время начала журналов в формате UTC 0:00 для текущей даты в формате UTC в качестве значения времени в URI в правильном формате. - Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. - Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате: https://< CustomerId.ods.opinsights.azure.us>.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
[Не рекомендуется] SentinelOne (с помощью функции Azure) (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных SentinelOne предоставляет возможность приема распространенных объектов сервера SentinelOne, таких как угрозы, агенты, приложения, действия, политики, группы и другие события, в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview по API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SentinelOne_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется SentinelOneAPIToken . Дополнительные сведения об API см. в документации
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewпо .
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API SentinelOne для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая будет работать должным образом, которая развертывается в составе решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Журналы, щелкните Функции и найдите псевдоним SentinelOne и загрузите код функции или щелкните здесь. Обычно для активации функции требуется 10–15 минут после установки или обновления решения.
ШАГ 1. Действия по настройке API SentinelOne
Следуйте инструкциям, чтобы получить учетные данные.
- Войдите в консоль управления SentinelOne с Администратор учетными данными пользователя.
- В консоли управления щелкните Параметры.
- В представлении ПАРАМЕТРЫ щелкните ПОЛЬЗОВАТЕЛИ.
- Щелкните Создать пользователя.
- Введите сведения для нового пользователя консоли.
- В разделе Роль выберите Администратор.
- Нажмите кнопку СОХРАНИТЬ.
- Сохраните учетные данные нового пользователя для использования в соединителе данных.
ПРИМЕЧАНИЕ. Администратор доступ можно делегировать с помощью пользовательских ролей. Дополнительные сведения о пользовательском RBAC см. в документации по SentinelOne.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных SentinelOne у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных SentinelOne Audit с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите SentinelOneAPIToken, SentinelOneUrl
(https://<SOneInstanceDomain>.sentinelone.net)и разверните. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных SentinelOne Reports с помощью Функции Azure (развертывание через Visual Studio Code).
- Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите Файл в главном меню и выберите Открыть папку.
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в приложении-функции. Если вы еще не вошли в систему, щелкните значок Azure на панели действий, а затем в области Azure: Функции выберите Войти в Azure Если вы уже вошли в систему, перейдите к следующему шагу.
Укажите следующие сведения в запросах:
А. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
Б. Выберите Подписка: Выберите подписку для использования.
c. Выберите Создать приложение-функцию в Azure (не выбирайте параметр Дополнительно)
d. Введите глобально уникальное имя приложения-функции: Введите допустимое имя в URL-пути. Введенное имя проверяется, чтобы убедиться, что оно уникально в Функции Azure. (например, SOneXXXXX).
e. Выберите среду выполнения: Выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион, где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отображается уведомление.
Перейдите на портал Azure для настройки приложения-функции.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите Новый параметр приложения.
Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceIdKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
[Не рекомендуется] Sophos Endpoint Protection (с помощью функции Azure) (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по Sophos Central Администратор.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SophosEP_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе Токен API.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к API Sophos Central для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ: Этот соединитель данных зависит от средства синтаксического анализа, основанного на функции Kusto, которая будет работать в соответствии с ожиданиями SophosEPEvent, которая развертывается вместе с решением Microsoft Sentinel.
Шаг 1. Действия по настройке для API Sophos Central
Следуйте инструкциям, чтобы получить учетные данные.
- В Sophos Central Администратор перейдите в раздел Управление маркерами API глобальных > параметров.
- Чтобы создать новый маркер, щелкните Добавить маркер в правом верхнем углу экрана.
- Выберите имя маркера и нажмите кнопку Сохранить. Отобразится сводка по маркерам API для этого маркера.
- Нажмите кнопку Копировать, чтобы скопировать URL-адрес доступа к API и заголовки из раздела Сводка по маркерам API в буфер обмена.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя данных Sophos Endpoint Protection у вас есть идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода).
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных Sophos Endpoint Protection с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
ПРИМЕЧАНИЕ: В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите URL-адрес доступа к API Sophos и заголовки, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Установите флажок Я принимаю указанные выше условия. 5. Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель данных Sophos Endpoint Protection с помощью Функции Azure (Развертывание через Visual Studio Code).
Шаг 1. Развертывание приложения-функции
ПРИМЕЧАНИЕ: Вам потребуется подготовить код VS для разработки функций Azure.
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
Шаг 2. Настройка приложения-функции
- Перейдите на портал Azure для настройки приложения-функции.
- В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
- На вкладке Параметры приложения выберите Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us.
- После ввода всех параметров приложения нажмите кнопку Сохранить.
[Не рекомендуется] VMware Carbon Black Cloud (с помощью функции Azure) (с помощью Функции Azure)
Поддерживается:Майкрософт
Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных о черном углероде в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CarbonBlackEvents_CL |
Нет | Нет |
CarbonBlackNotifications_CL |
Нет | Нет |
CarbonBlackAuditLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Ключи API для VMware Carbon Black: требуются API углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации.
- Для журналов аудита и событий требуется идентификатор API уровня доступа и ключ API Carbon Black.
- Для оповещений об уведомлениях требуется идентификатор API уровня доступа SIEM carbon Black и ключ.
- Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.
Инструкции по настройке:
ПРИМЕЧАНИЕ: Этот соединитель использует Функции Azure для подключения к VMware Carbon Black для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации рабочей области и API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Шаг 1. Действия по настройке ДЛЯ API VMware Carbon Black
Следуйте этим инструкциям, чтобы создать ключ API.
ШАГ 2. Выберите один из следующих двух вариантов развертывания, чтобы развернуть соединитель и связанную функцию Azure
ВАЖНО: Перед развертыванием соединителя VMware Carbon Black необходимо иметь идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также ключи авторизации API VMware Carbon Black.
- Идентификатор рабочей области: <переменное значение, указанное во время установки>
- Первичный ключ: <значение переменной, указанное во время установки>
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя VMware Carbon Black с помощью tempate ARM.
Нажмите кнопку Развернуть в Azure ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, типы журналов, идентификаторы API, ключи API, ключи организации, имя контейнера S3, идентификатор ключа доступа AWS, секретный ключ доступа AWS, EventPrefixFolderName, AlertPrefixFolderName и проверьте универсальный код ресурса (URI).
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов API можно найти здесь.
- Интервал времени по умолчанию устанавливается для извлечения последних пяти (5) минут данных. Если необходимо изменить интервал времени, рекомендуется соответствующим образом изменить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить прием перекрывающихся данных.
- Для приема оповещений о уведомлениях требуется отдельный набор идентификаторов и ключей API. Введите идентификатор ИЛИ ключ API SIEM или оставьте пустым, если это не требуется.
- Примечание. При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Установите флажок С меткой Я принимаю указанные выше условия.
- Щелкните Приобрести , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединитель VMware Carbon Black с Функции Azure.
Создание приложения-функции
На портале Azure перейдите к приложению-функции и выберите + Добавить.
На вкладке Основные сведения убедитесь, что для стека среды выполнения задано значение PowerShell Core.
На вкладке Размещение убедитесь, что выбран тип плана Потребление (бессерверное).
При необходимости внесите другие предпочтительные изменения конфигурации, а затем нажмите кнопку Создать.
Импорт кода приложения-функции
В созданном приложении-функции выберите Функции на левой панели и нажмите кнопку + Добавить.
Выберите Триггер таймера.
Введите уникальное имя функции и при необходимости измените расписание cron. Значение по умолчанию устанавливается для запуска приложения-функции каждые 5 минут. (Примечание. Триггер таймера должен соответствовать приведенному
timeIntervalниже значению, чтобы предотвратить перекрытие данных), нажмите кнопку Создать.Щелкните Код и тест в левой области.
Скопируйте код приложения-функции и вставьте его в редактор приложения-функции
run.ps1.Нажмите кнопку Сохранить.
Настройка приложения-функции
В приложении-функции выберите имя приложения-функции и выберите Конфигурация.
На вкладке Параметры приложения выберите + Новый параметр приложения.
Добавьте каждый из следующих тринадцати к шестнадцати (13–16) параметрам приложения по отдельности. с соответствующими строковыми значениями (с учетом регистра): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKeyId SIEMapiId (необязательно) SIEMapiKey (optional) logAnalyticsUri (необязательно)
- Введите универсальный код ресурса (URI), соответствующий вашему региону. Полный список URL-адресов API можно найти здесь. Значение
uriдолжно соответствовать следующей схеме:https://<API URL>.conferdeploy.net— Нет необходимости добавлять суффикс времени в URI, приложение-функция будет динамически добавлять значение времени к URI в правильном формате. -
timeIntervalЗадайте (в минутах) значение по умолчанию ,5чтобы соответствовать триггеру таймера по умолчанию каждые5минуты. Если необходимо изменить интервал времени, рекомендуется соответствующим образом изменить триггер таймера приложения-функции, чтобы предотвратить перекрывающийся прием данных. - Для приема оповещений о уведомлениях требуется отдельный набор идентификаторов и ключей API. При необходимости введите
SIEMapiIdзначения иSIEMapiKeyили опустите, если это не требуется. - Примечание. Если используется Azure Key Vault, вместо строковых значений
@Microsoft.KeyVault(SecretUri={Security Identifier})используйте схему. Дополнительные сведения см. в документации по Key Vault. - Используйте logAnalyticsUri, чтобы переопределить конечную точку API Log Analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; для Azure облачной среды GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us
- После ввода всех параметров приложения нажмите кнопку Сохранить.
События Администратор браузера Island Enterprise (устаревшая версия)
Поддерживается:Island
Это устаревший соединитель, который больше не рекомендуется. Вместо этого используйте соединитель данных Island Enterprise Browser версии 2 , который поддерживает события пользователей, администраторов и системных событий в рамках одного соединителя.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_Admin_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API острова. Требуется ключ API острова.
Инструкции по настройке:
Подключение острова к Microsoft Sentinel
Это устаревший соединитель. Полные инструкции по настройке см. в официальной документации по island (требуется вход в консоль управления Island).
События пользователя браузера Island Enterprise (устаревшая версия)
Поддерживается:Island
Это устаревший соединитель, который больше не рекомендуется. Вместо этого используйте соединитель данных Island Enterprise Browser версии 2 , который поддерживает события пользователей, администраторов и системных событий в рамках одного соединителя.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_User_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ API острова. Требуется ключ API острова.
Инструкции по настройке:
Подключение острова к Microsoft Sentinel
Это устаревший соединитель. Полные инструкции по настройке см. в официальной документации по island (требуется вход в консоль управления Island).
События безопасности с помощью устаревшего агента
Поддерживается корпорациейМайкрософт
С помощью агента Windows можно выполнять потоковую передачу всех событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender на основе подписки для облака (устаревшая версия)
Поддерживается корпорациейМайкрософт
Microsoft Defender для облака — это средство управления безопасностью, которое позволяет обнаруживать угрозы и быстро реагировать на них в Azure, гибридных и многооблачных рабочих нагрузках. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности из Microsoft Defender для облака в Microsoft Sentinel, чтобы вы могли просматривать данные Defender в книгах, запрашивать их для создания оповещений, а также исследовать инциденты и реагировать на них.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Системный журнал через устаревший агент
Поддерживается корпорациейМайкрософт
Системный журнал — это протокол ведения журнала событий, который является общим для Linux. Приложения будут отправлять сообщения, которые могут храниться на локальном компьютере или доставляться сборщику системного журнала. При установке агента для Linux настраивается локальная управляющая программа Syslog для пересылки сообщений агенту. Затем агент отправляет сообщение в рабочую область.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.