Konektor HYAS Protect (pomocí Azure Functions) pro Microsoft Sentinel
HYAS Protect poskytuje protokoly založené na hodnotách reputace – blokované, škodlivé, povolené, podezřelé.
Je to automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
Atribut konektoru | Popis |
---|---|
Kód aplikace funkcí Azure | https://aka.ms/sentinel-HYASProtect-functionapp |
Tabulky Log Analytics | HYASProtectDnsSecurityLogs_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | HYAS |
Ukázky dotazů
Všechny protokoly
HYASProtectDnsSecurityLogs_CL
Požadavky
Pokud chcete integrovat službu HYAS Protect (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Klíč rozhraní API HYAS se vyžaduje pro volání rozhraní API.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní API HYAS k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat a ukládání dat do služby Azure Blob Storage. Podrobnosti najdete na stránce s cenami služby Azure Functions a na stránce s cenami služby Azure Blob Storage.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení datového konektoru HYAS Protect pomocí šablony ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte název funkce, název tabulky, ID pracovního prostoru, klíč pracovního prostoru, klíč rozhraní API, timeInterval, FetchBlockedDomains, FetchMaliciousDomains, FetchSuspiciousDomains, FetchPermittedDomains a nasazení.
Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
Kliknutím na Koupit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Functions
Pomocí následujících podrobných pokynů nasaďte datový konektor HYAS Protect Logs ručně pomocí služby Azure Functions (nasazení přes Visual Studio Code).
1. Nasazení aplikace funkcí
POZNÁMKA:Budete muset připravit VS Code pro vývoj funkcí Azure.
Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.
Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.
Vyberte složku nejvyšší úrovně z extrahovaných souborů.
Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.
Podle pokynů na obrazovce zadejte tyto informace:
a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.
b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.
c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).
d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (například HyasProtectLogsXXX).
e. Vyberte modul runtime: Zvolte Python 3.8.
f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.
Nasazení začíná. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.
Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.
2. Konfigurace aplikace funkcí
- V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
- Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
- Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): APIKey Polling WorkspaceID WorkspaceKey . Po zadání všech nastavení aplikace klikněte na Uložit.