Соединитель API WithSecure Elements (функция Azure) (с помощью Функции Azure) для Microsoft Sentinel
WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности.
Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрышных угроз, от целевых атак до программ-шантажистов нулевого дня.
WithSecure Elements объединяет мощные прогнозные, профилактические и адаптивные возможности безопасности — все управляемые и отслеживаемые через единый центр безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу развиваться. С нашим опытом и пониманием, вы всегда будете иметь возможность - и вы никогда не будете одиноки.
Интеграция Microsoft Sentinel позволяет сопоставить данные событий безопасности из решения WithSecure Elements с данными из других источников, что позволяет получить широкий обзор всей среды и ускорить реакцию на угрозы.
При развертывании этой функции Azure в клиенте периодически опрашивать события безопасности WithSecure Elements.
Дополнительные сведения см. на нашем веб-сайте: https://www.withsecure.com
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | WsSecurityEvents_CL (события WithSecure) |
| Поддержка правил сбора данных | Преобразование DCR рабочей области |
| Поддерживается | WithSecure |
Примеры запросов
Все журналы
WsSecurityEvents_CL
| sort by TimeGenerated
Необходимые компоненты
Чтобы интегрироваться с API WithSecure Elements (функция Azure) (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- С учетными данными клиента APISecure Elements: необходимы учетные данные клиента. Дополнительные сведения см. в документации.
Инструкции по установке поставщика
- Создание учетных данных API WithSecure Elements
Следуйте инструкциям пользователя по созданию учетных данных API элементов. Сохраните учетные данные в безопасном месте.
- Создание приложения Microsoft Entra
Создайте приложение и учетные данные Microsoft Entra. Следуйте инструкциям и сохраните значения идентификатора каталога (клиента), идентификатора объекта, идентификатора приложения (клиента) и секрета клиента (из поля учетных данных клиента). Не забудьте сохранить секрет клиента в безопасном месте.
- Развертывание приложения-функции
Примечание.
Этот соединитель использует Функции Azure для извлечения журналов из WithSecure Elements. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасно храните учетные данные клиента Microsoft Entra и учетные данные клиента API WithSecure Elements в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ВАЖНО. Перед развертыванием соединителя WithSecure Elements укажите имя рабочей области (можно скопировать из следующего), данные из Microsoft Entra (идентификатор каталога (клиента), идентификатор объекта, идентификатор приложения (клиента) и секрет клиента), а также учетные данные клиента WithSecure Elements, которые легко доступны.
Имя рабочей области
Развертывание всех ресурсов, связанных с соединителем
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор рабочей области, идентификатор клиента Entra, секрет клиента Entra, идентификатор клиента Entra, идентификатор клиента API элементов, секрет клиента API элементов. Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.Вы также можете заполнить необязательные поля: URL-адрес API элементов, обработчик, группа обработчиков. Используйте значение по умолчанию URL-адреса API элементов, если у вас нет специального случая. Подсистема и группа обработчиков сопоставляются с параметрами запроса на события безопасности, заполняйте эти параметры, если вы заинтересованы только в событиях из определенной группы обработчиков или подсистемы, если вы хотите получить все события безопасности, оставьте поля со значениями по умолчанию.
Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".
Нажмите кнопку " Купить" , чтобы развернуть.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.