Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью интеграции API вы можете получить все проблемы, связанные с организациями HackerView, через интерфейс RESTful.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Описание |
|---|---|
| Код приложения-функции Azure | https://raw.githubusercontent.com/CTM360-Integrations/Azure-Sentinel/ctm360-HV-CBS-azurefunctionapp/Solutions/CTM360/Data%20Connectors/HackerView/AzureFunctionCTM360_HV.zip |
| Таблицы Log Analytics | HackerViewLog_Azure_1_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Управление киберугрывами 360 |
Примеры запросов
Все логи
HackerViewLog_Azure_1_CL
| take 10
Необходимые компоненты
Чтобы интегрироваться с Интеграцией HackerView (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: для создания функционального приложения Azure требуется разрешение на чтение и запись. Дополнительные сведения о Функциях Azure см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к "" для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения смотрите на странице с ценами на Azure Functions.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Следуйте этим инструкциям , чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке API HackerView
Поставщик должен предоставить или связаться с подробными инструкциями по настройке конечной точки API HackerView, чтобы функция Azure успешно выполнила проверку подлинности, получить ключ авторизации или маркер и извлечь журналы устройства в Microsoft Sentinel.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО: Перед развертыванием соединителя HackerView убедитесь, что у вас есть идентификатор рабочей области и первичный ключ рабочей области, которые можно скопировать из следующего, а также ключ(и) авторизации API HackerView.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя HackerView.
Нажмите кнопку "Развернуть в Azure " ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, **API **, "и/или другие обязательные поля".
Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault . 4. Помечайте флажок, помеченный я согласен с условиями, указанными выше. 5. Нажмите «Купить», чтобы завершить.
Вариант 2. Развертывание функций Azure вручную
Используйте следующие пошаговые инструкции, чтобы развернуть соединитель HackerView вручную с помощью Функции Azure.
Вариант 2. Развертывание Функции Azure вручную
Используйте следующие пошаговые инструкции по развертыванию соединителя данных CBS CTM360 вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание приложения-функции
Примечание.
Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл функционального приложения Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области Azure: Функции нажмите кнопку Развернуть в функциональное приложение. Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения по соответствующим запросам:
a. Выберите папку: Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
б. Выберите подписку: Выберите используемую подписку.
с. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
д. Введите глобально уникальное имя для функционального приложения: Введенное имя должно быть корректным в пути URL-адреса. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, CTIXYZ).
д) Выберите среду выполнения: Выберите Python 3.11.
е) Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите на портал Azure для конфигурации приложения-функции.
2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке "Параметры приложения " выберите +Создать параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра):
CTM360AccountID WorkspaceID WorkspaceKey CTM360Key FUNCTION_NAME logAnalyticsUri — используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:https://<CustomerId>.ods.opinsights.azure.us - После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.