API-Schutz-Connector für Microsoft Sentinel
Verbindet den 42Crunch API-Schutz mit Azure Log Analytics über die REST-API-Schnittstelle
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | apifirewall_log_1_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | 42Crunch API-Schutz |
Abfragebeispiele
API-Anforderungen, die ratenbegrenzt waren
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
API-Anforderungen die einen Serverfehler generieren
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
API-Anforderungen mit Fehler bei der JWT-Validierung
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Installationsanweisungen des Anbieters
Schritt 1: Lesen Sie die detaillierte Dokumentation
Der Installationsprozess ist ausführlich in der Microsoft Sentinel-Integration des GitHub-Repositorys dokumentiert. Der Benutzer sollte dieses Repository zu Rate ziehen, um die Installation und das Debuggen der Integration zu verstehen.
Schritt 2: Abrufen der Anmeldeinformationen für den Arbeitsbereichszugriff
Der erste Installationsschritt besteht darin, sowohl Ihre Arbeitsbereichs-ID als auch den Primärschlüssel von der Microsoft Sentinel-Plattform abzurufen. Kopieren Sie die unten gezeigten Werte, und speichern Sie diese für die Konfiguration der API-Protokollweiterleitungsintegration.
Schritt 3: Installieren des 42Crunch-Schutzes und der Protokollweiterleitung
Im nächsten Schritt installieren Sie den 42Crunch-Schutz und die Protokollweiterleitung, um Ihre API zu schützen. Beide Komponenten sind als Container im 42Crunch-Repository verfügbar. Die genaue Installation hängt von Ihrer Umgebung ab. Weitere Informationen finden Sie in der Sicherheitsdokumentation von 42Crunch. Im Folgenden werden zwei gängige Installationsszenarien beschrieben:
Installation über Docker Compose
Die Lösung kann mithilfe einer Docker Compose-Datei installiert werden.
Installation über Helm-Diagramme
Die Lösung kann mithilfe eines Helm-Diagramms installiert werden.
Schritt 4: Testen der Datenerfassung
Um die Datenerfassung zu testen, sollte der Benutzer die httpbin-Beispielanwendung zusammen mit dem hier ausführlich beschriebenen 42Crunch-Schutz und der Protokollweiterleitung bereitstellen.
4.1 Installieren des Beispiels
Die Beispielanwendung kann lokal mithilfe einer Docker Compose-Datei installiert werden, die den httpbin-API-Server, den 42Crunch-API-Schutz und die Microsoft Sentinel-Protokollweiterleitung installiert. Legen Sie die Umgebungsvariablen wie erforderlich fest, indem Sie die aus Schritt 2 kopierten Werte verwenden.
4.2. Ausführen des Beispiels
Überprüfen Sie, ob der API-Schutz mit der 42Crunch-Plattform verbunden ist, und führen Sie die API dann lokal unter localhost an Port 8080 mithilfe von cURL oder auf ähnliche Weise aus. Es sollte eine Mischung aus erfolgreichen und fehlerhaften API-Aufrufen angezeigt werden.
4.3 Überprüfen der Datenerfassung in Log Analytics
Nach ungefähr 20 Minuten greifen Sie auf den Log Analytics-Arbeitsbereich ihrer Microsoft Sentinel-Installation zu, und suchen Sie im Abschnitt Benutzerdefinierte Protokolle, ob die Tabelle apifirewall_log_1_CL vorhanden ist. Verwenden Sie die Beispielabfragen, um die Daten zu untersuchen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.