Соединитель защиты API для Microsoft Sentinel
Подключает защиту API 42Crunch к Azure Log Analytics с помощью интерфейса REST API
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | apifirewall_log_1_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Защита API 42Crunch |
Примеры запросов
Запросы API, которые были ограничены скоростью
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Запросы API, создающие ошибку сервера
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Запросы API завершаются ошибкой проверки JWT
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Инструкции по установке поставщика
Шаг 1. Чтение подробной документации
Процесс установки подробно описан в интеграции с репозиторием GitHub Microsoft Sentinel. Пользователь должен ознакомиться с этим репозиторием для дальнейшего понимания установки и отладки интеграции.
Шаг 2. Получение учетных данных доступа к рабочей области
Первым шагом установки является получение идентификатора рабочей области и первичного ключа из платформы Microsoft Sentinel. Скопируйте приведенные ниже значения и сохраните их для настройки интеграции пересылки журналов API.
Шаг 3. Установка защиты 42Crunch и средства пересылки журналов
Следующим шагом является установка защиты 42Crunch и средства пересылки журналов для защиты API. Оба компонента доступны в качестве контейнеров из репозитория 42Crunch. Точную установку зависит от среды, см . в документации по защите 42Crunch, чтобы получить подробные сведения. Ниже описаны два распространенных сценария установки:
Установка с помощью Docker Compose
Решение можно установить с помощью файла создания Docker.
Установка с помощью диаграмм Helm
Решение можно установить с помощью диаграммы Helm.
Шаг 4. Проверка приема данных
Чтобы проверить прием данных, пользователь должен развернуть пример приложения httpbin вместе с защитой 42Crunch и обработчиком пересылки журналов, описанным здесь.
4.1. Установка примера
Пример приложения можно установить локально с помощью файла создания Docker, который устанавливает сервер API httpbin, защиту API 42Crunch и средство пересылки журналов Microsoft Sentinel. Задайте переменные среды по мере необходимости с помощью значений, скопированных на шаге 2.
4.2 Запуск примера
Verfify защита API подключена к платформе 42Crunch, а затем выполняет api локально на локальном узле на порту 8080 с помощью curl или аналогичного. Вы увидите смесь передачи и неудачных вызовов API.
4.3 Проверка приема данных в Log Analytics
Через 20 минут перейдите к рабочей области Log Analytics в установке Microsoft Sentinel и найдите раздел "Пользовательские журналы " и убедитесь, что таблица apifirewall_log_1_CL существует. Используйте примеры запросов для проверки данных.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.