Соединитель действий Armis (с помощью Функции Azure) для Microsoft Sentinel
Соединитель действий Armis предоставляет возможность приема действий устройств Armis в Microsoft Sentinel через REST API Armis. Дополнительные сведения см. в документации https://<YourArmisInstance>.armis.com/api/v1/doc
по API. Соединитель предоставляет возможность получать сведения о действиях устройства из платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Armis определяет, что делают все устройства в вашей среде и классифицирует эти действия, чтобы получить полное представление о поведении устройства. Эти действия анализируются для понимания нормального и аномального поведения устройства и используются для оценки риска устройства и сети.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Код приложения-функции Azure | https://aka.ms/sentinel-ArmisActivitiesAPI-functionapp |
Таблицы Log Analytics | Armis_Activities_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Armis Corporation |
Примеры запросов
События действий Armis — все действия.
Armis_Activities_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с действиями Armis (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения REST API: требуется секретный ключ Armis. Дополнительные сведения об API см. в документации
https://<YourArmisInstance>.armis.com/api/v1/doc
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к API Armis для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ПРИМЕЧАНИЕ. Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним ArmisActivities и загрузите код функции или щелкните здесь. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.
ШАГ 1. Действия по настройке API Armis
Следуйте этим инструкциям, чтобы создать секретный ключ API Armis.
- Вход в экземпляр Armis
- Переход к параметрам —> Управление API
- Если секретный ключ еще не создан, нажмите кнопку "Создать", чтобы создать секретный ключ
- Чтобы получить доступ к секретному ключу, нажмите кнопку "Показать"
- Теперь секретный ключ можно скопировать и использовать во время настройки соединителя действий Armis
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных действий Armis укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего) легко доступны.., а также ключи авторизации API Armis.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Armis.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите следующие сведения:
- Имя функции
- Идентификатор рабочей области
- Ключ рабочей области
- Секретный ключ Armis
- URL-адрес Armis
https://<armis-instance>.armis.com/api/v1/
- Имя таблицы действий Armis
- Расписание Armis
- Избегайте дубликатов (по умолчанию: false)
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите кнопку " Купить" , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя данных о действиях Armis вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание приложения-функции
ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения по соответствующим запросам:
a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
b. Выберите подписку: выберите используемую подписку.
c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, ARMISXXXXXX).
д) Выберите среду выполнения: выберите Python 3.8 или более поздней версии.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите на портал Azure для конфигурации приложения-функции.
2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке Параметры приложения выберите +Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими значениями (с учетом регистра):
- Идентификатор рабочей области
- Ключ рабочей области
- Секретный ключ Armis
- URL-адрес Armis
https://<armis-instance>.armis.com/api/v1/
- Имя таблицы действий Armis
- Расписание Armis
- Избегайте дубликатов (по умолчанию: false)
- logAnalyticsUri (необязательно)
- Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us
- После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.