Соединитель PALo Alto Prisma Cloud CSPM (с помощью Функции Azure) для Microsoft Sentinel
Соединитель данных Palo Alto Prisma Cloud CSPM предоставляет возможность приема оповещений Prisma Cloud CSPM и журналов аудита в Microsoft sentinel с помощью API Prisma Cloud CSPM. Дополнительные сведения см. в документации по API PRisma Cloud CSPM.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все оповещения Prisma Cloud
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Все журналы аудита Prisma Cloud
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Palo Alto Prisma Cloud CSPM (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные API Для облака Palo Alto Prisma Cloud API: URL-адрес API Prisma Cloud, идентификатор ключа доступа к cloud Prisma Cloud Key, Prisma Cloud Secret Key требуется для подключения к облачному API Prisma. Дополнительные сведения о создании ключа доступа к cloud Access Prisma и получении URL-адреса API Prisma Cloud См. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к REST API Palo Alto Prisma Cloud для извлечения журналов в Microsoft sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , PaloAltoPrismaCloud , развернутой с помощью решения Microsoft sentinel.
ШАГ 1. Настройка Облака Prisma
Следуйте документации, чтобы создать ключ доступа к cloud Access Prisma и получить URL-адрес API Prisma Cloud
ПРИМЕЧАНИЕ. Используйте роль SYSTEM ADMIN для предоставления доступа к Api Prisma Cloud, так как только роль SYSTEM ADMIN разрешена просматривать журналы аудита Prisma Cloud. Дополнительные сведения о разрешениях администратора см. в статье "Разрешения Администратор istrator" (paloaltonetworks.com) для Prisma Cloud.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных Prisma Cloud укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также учетные данные API Prisma Cloud, которые легко доступны.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.