Sdílet prostřednictvím


Konektor CommvaultSecurityIQ (pomocí Azure Functions) pro Microsoft Sentinel

Tato funkce Azure umožňuje uživatelům služby Commvault ingestovat výstrahy nebo události do své instance Služby Microsoft Sentinel. Díky analytickým pravidlům může Microsoft Sentinel automaticky vytvářet incidenty Microsoft Sentinelu z příchozích událostí a protokolů.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

Atributy konektoru

Atribut konektoru Popis
Nastavení aplikace apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (volitelné)(přidejte všechna další nastavení vyžadovaná aplikací funkcí)Nastavte uri hodnotu na: <add uri value>
Kód aplikace funkcí Azure Přidat%20GitHub%20link%20to%20Function%20App%20code
Tabulky Log Analytics CommvaultSecurityIQ_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Commvault

Ukázky dotazů

**Posledních 10 událostí/upozornění **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Požadavky

Pokud chcete provést integraci s commvaultSecurityIQ (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Adresa URL koncového bodu prostředí commvault: Nezapomeňte postupovat podle dokumentace a nastavit hodnotu tajného kódu ve službě KeyVault.
  • Token QSDK commvault: Nezapomeňte postupovat podle dokumentace a nastavit hodnotu tajného klíče ve službě KeyVault.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k instanci Commvault k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 – Kroky konfigurace pro token QSDK

Podle těchto pokynů vytvořte token rozhraní API.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru CommvaultSecurityIQ zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také adresu URL koncového bodu Commvault a token QSDK, které jsou snadno dostupné.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení datového konektoru COMmvault Security IQ.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, uživatelské jméno rozhraní API, heslo rozhraní API a/nebo jiná povinná pole.

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor CommvaultSecurityIQ ručně se službou Azure Functions.

  1. Vytvoření aplikace Function App

  2. Na webu Azure Portal přejděte do aplikace funkcí.

  3. Klikněte na + Přidat v horní části.

  4. Na kartě Základy se ujistěte, že je zásobník modulu runtime nastavený na Přidat požadovaný jazyk.

  5. Na kartě Hostování se ujistěte, že je typ plánu nastavený na Přidat typ plánu.

  6. Přidání dalších požadovaných konfigurací

  7. "V případě potřeby proveďte další vhodnější změny konfigurace" a potom klikněte na Vytvořit.

  8. Import kódu aplikace funkcí

  9. V nově vytvořené aplikaci funkcí vyberte v navigační nabídce funkce a klikněte na + Přidat.

  10. Vyberte aktivační událost časovače.

  11. Do pole Nová funkce zadejte jedinečný název funkce a nechte výchozí plán cron každých 5 minut a potom klikněte na vytvořit funkci.

  12. Klikněte na název funkce a v levém podokně klikněte na Kód + test .

  13. Zkopírujte kód aplikace funkcí a vložte ho do editoru aplikace run.ps1 funkcí.

  14. Klikněte na Uložit.

  15. Konfigurace aplikace funkcí

  16. Na obrazovce Aplikace funkcí klikněte na název aplikace funkcí a vyberte Možnost Konfigurace.

  17. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.

  18. Do pole Název přidejte jednotlivá nastavení aplikace x (počet) s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena) v části Hodnota: apiUsername apipassword apiToken workspaceKey uri logAnalyticsUri (volitelné) (přidejte další nastavení vyžadovaná aplikací funkcí) Nastavte uri hodnotu na: <add uri value>

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v referenční dokumentaci ke službě Azure Key Vault.

  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.