Соединитель Box (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | BoxEvents_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все события Box
BoxEvents
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Box (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API Box: для проверки подлинности JWT rest API Box требуется файл JSON конфигурации Box. Дополнительные сведения о проверке подлинности JWT см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к REST API Box для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель зависит от средства синтаксического анализа на основе функции Kusto, чтобы работать должным образом, как ожидалось , BoxEvents , развернутых с помощью решения Microsoft Sentinel.
ШАГ 1. Настройка коллекции событий Box
См. документацию по настройке проверки подлинности JWT и получению JSON-файла с учетными данными.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных Box укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего файла), а также файл конфигурации BOX JSON, который легко доступен.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.