Соединитель данных ресурса безопасности Holm (с помощью Функции Azure) для Microsoft Sentinel
Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | net_assets_CL web_assets_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Holm Security |
Примеры запросов
Все низкие чистые ресурсы
net_assets_CL
| where severity_s == 'low'
Все низкие веб-ресурсы
web_assets_CL
| where severity_s == 'low'
Необходимые компоненты
Чтобы интегрироваться с данными ресурса безопасности Holm (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Токен Holm API безопасности: требуется токен Holm API безопасности. Токен Holm API безопасности
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к ресурсам безопасности Holm для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке для API безопасности Holm
Следуйте этим инструкциям , чтобы создать маркер проверки подлинности API.
ШАГ 2. Используйте приведенный ниже вариант развертывания для развертывания соединителя и связанной функции Azure.
ВАЖНО. Перед развертыванием соединителя Holm Security укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации Holm API безопасности, легко доступный.
Развертывание шаблона Azure Resource Manager (ARM)
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя Holm Security.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, "и/или другие обязательные поля".
Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Пометить проверка box с меткой я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.