Поделиться через


Соединитель Workplace from Facebook (с помощью Функции Azure) для Microsoft Sentinel

Соединитель данных Workplace предоставляет возможность приема распространенных событий Workplace в Microsoft Sentinel через веб-перехватчики. С помощью веб-перехватчиков настраиваемые приложения интеграции могут подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам. Соединитель предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Workplace_Facebook_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Рабочие события — все действия.

Workplace_Facebook_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Workplace из Facebook (с помощью Функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Примечание.

Этот соединитель данных использует Функции Azure на основе триггера HTTP для ожидания запросов POST с журналами для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Следуйте этим инструкциям, чтобы использовать Azure Key Vault с приложением Функции Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать должным образом, которая развертывается в рамках решения. Чтобы просмотреть код функции в Log Analytics, откройте колонку Log Analytics/Microsoft Sentinel Logs, щелкните "Функции" и найдите псевдоним WorkplaceFacebook и загрузите код функции или щелкните здесь во второй строке запроса, введите имена узлов устройств Workplace Facebook и любые другие уникальные идентификаторы для потока журналов. Функция обычно занимает 10–15 минут, чтобы активировать после установки или обновления решения.

ШАГ 1. Действия по настройке рабочей области

Следуйте инструкциям по настройке веб-перехватчиков.

  1. Войдите в Рабочую область с помощью учетных данных пользователя Администратор.
  2. На панели Администратор щелкните "Интеграция".
  3. В представлении "Все интеграции" нажмите кнопку "Создать пользовательскую интеграцию"
  4. Введите имя и описание и нажмите кнопку "Создать".
  5. На панели сведений об интеграции отобразится секрет приложения и копирование.
  6. В панелях разрешений интеграции задайте все разрешения на чтение. Подробности см. на странице разрешений.
  7. Теперь перейдите к шагу 2, чтобы выполнить действия (перечисленные в варианте 1 или 2) для развертывания функции Azure.
  8. Введите запрошенные параметры и введите маркер выбора. Скопируйте этот токен и запишите его для предстоящего шага.
  9. После успешного развертывания Функции Azure откройте страницу приложения-функции, выберите приложение, перейдите в раздел "Функции", нажмите кнопку "Получить URL-адрес функции" и скопируйте его на предстоящий шаг.
  10. Вернитесь в Рабочую область из Facebook. На панели "Настройка веб-перехватчиков" на каждом URL-адресе обратного вызова табуляции совпадает с тем же значением, которое вы скопировали в точке 9 выше и убедитесь в том же значении, которое вы скопировали в точке 8 выше, которая была получена во время шага 2 Функции Azure развертывания.
  11. Нажмите кнопку Сохранить.

ШАГ 2. Выберите один из следующих двух вариантов развертывания для развертывания соединителя и связанного Функции Azure

ВАЖНО. Перед развертыванием соединителя данных Рабочей области укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.