Sdílet prostřednictvím

Konektor API Protection pro Microsoft Sentinel

  • Článek

Připojí ochranu rozhraní API 42Crunch ke službě Azure Log Analytics prostřednictvím rozhraní REST API.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Tabulky Log Analytics apifirewall_log_1_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno 42Crunch API Protection

Ukázky dotazů

Požadavky rozhraní API, které byly omezené rychlostí

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Požadavky rozhraní API generující chybu serveru

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Požadavky rozhraní API, které selhávají při ověřování JWT

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Pokyny k instalaci dodavatele

Krok 1: Přečtěte si podrobnou dokumentaci

Proces instalace je podrobně zdokumentovaný v integraci Microsoft Sentinelu v úložišti GitHub. Uživatel by se měl s tímto úložištěm dále seznámit s instalací a laděním integrace.

Krok 2: Načtení přihlašovacích údajů pro přístup k pracovnímu prostoru

Prvním krokem instalace je načtení ID vašeho pracovního prostoru i primárního klíče z platformy Microsoft Sentinel. Zkopírujte níže uvedené hodnoty a uložte je pro konfiguraci integrace předávání protokolů rozhraní API.

Krok 3: Instalace ochrany 42Crunch a předávání protokolů

Dalším krokem je instalace ochrany 42Crunch a nástroje pro předávání protokolů za účelem ochrany vašeho rozhraní API. Obě komponenty jsou k dispozici jako kontejnery z úložiště 42Crunch. Přesná instalace závisí na vašem prostředí. Úplné podrobnosti najdete v dokumentaci k ochraně 42Crunch. Níže jsou popsané dva běžné scénáře instalace:

Instalace přes Docker Compose

Řešení je možné nainstalovat pomocí souboru Docker compose.

Instalace prostřednictvím chartů Helm

Řešení je možné nainstalovat pomocí chartu Helm.

Krok 4: Testování příjmu dat

Aby bylo možné otestovat příjem dat, měl by uživatel nasadit ukázkovou aplikaci httpbin společně s 42Crunch ochranou a protokolovacím předáváním , které jsou podrobně popsány zde.

4.1 Instalace ukázky

Ukázkovou aplikaci je možné nainstalovat místně pomocí souboru Docker Compose, který nainstaluje server httpbin API, ochranu rozhraní API 42Crunch a službu předávání protokolů Microsoft Sentinelu. Nastavte proměnné prostředí podle potřeby pomocí hodnot zkopírovaných z kroku 2.

4.2 Spuštění ukázky

Ověřte, že je ochrana rozhraní API připojená k platformě 42Crunch, a pak toto rozhraní API místně procvičte na místním hostiteli na portu 8080 pomocí nástroje curl nebo podobné. Měli byste vidět kombinaci předávání a neúspěšných volání rozhraní API.

4.3 Ověření příjmu dat v Log Analytics

Přibližně po 20 minutách přejděte do pracovního prostoru služby Log Analytics v instalaci služby Microsoft Sentinel a vyhledejte část Vlastní protokoly a ověřte, že existuje apifirewall_log_1_CL tabulka. K prozkoumání dat použijte ukázkové dotazy.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.