Freigeben über

CommvaultSecurityIQ-Connector (über Azure Functions) für Microsoft Sentinel

  • Artikel

Mit dieser Azure-Funktion können Commvault-Benutzer Warnungen/Ereignisse in ihrer Microsoft Sentinel-Instanz erfassen. Mit Analyseregeln kann Microsoft Sentinel automatisch Microsoft Sentinel-Vorfälle aus eingehenden Ereignissen und Protokollen erstellen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Anwendungseinstellungen apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (optional) (Fügen Sie weitere Einstellungen hinzu, die für die Funktions-App erforderlich sind.) Legen Sie den uri-Wert auf <add uri value> fest.
Azure-Funktions-App-Code Add%20GitHub%20link%20to%20Function%20App%20code
Log Analytics-Tabellen CommvaultSecurityIQ_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Commvault

Abfragebeispiele

**Letzten 10 Ereignisse/Benachrichtigungen**

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Voraussetzungen

Stellen Sie für die Integration in CommvaultSecurityIQ (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Commvault Environment Endpoint URL: Stellen Sie sicher, dass Sie der Dokumentation folgen und den geheimen Wert in KeyVault festlegen
  • Commvault QSDK Token: Stellen Sie sicher, dass Sie der Dokumentation folgen und den geheimen Wert in KeyVault festlegen

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit einer Commvault-Instanz her, um die Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Kosten für die Datenerfassung verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1 – Konfigurationsschritte für das Commvalut QSDK Token

Befolgen Sie die folgenden Anweisungen, um ein API-Token zu erstellen.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des CommvaultSecurityIQ-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie die Commvault Endpoint URL und das QSDK Token bereithalten.

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Commvault Security IQ-Datenconnectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.

  3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Benutzernamen, das API-Kennwort sowie ggf. andere erforderliche Informationen ein.

Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault. 4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2 – Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den CommvaultSecurityIQ-Datenconnector manuell mit Azure Functions bereitzustellen.

  1. Erstellen einer Funktions-App

  2. Navigieren Sie im Azure-Portal zu Funktions-App.

  3. Klicken Sie oben auf + Hinzufügen.

  4. Stellen Sie auf der Registerkarte Grundlagen sicher, dass der Runtimestapel auf Erforderliche Sprache hinzufügen festgelegt ist.

  5. Stellen Sie auf der Registerkarte Hosting sicher, dass der Plantyp auf Plantyp hinzufügen festgelegt ist.

  6. Fügen Sie weitere erforderliche Konfigurationen hinzu.

  7. Nehmen Sie bei Bedarf weitere Konfigurationsänderungen vor, und klicken Sie dann auf Erstellen.

  8. Importieren von Funktions-App-Code

  9. Wählen Sie in der neu erstellten Funktions-App im Navigationsmenü Funktionen aus, und klicken Sie auf + Hinzufügen.

  10. Wählen Sie Zeitgebertrigger.

  11. Geben Sie im Feld „Neue Funktion“ einen eindeutigen Funktionsnamen ein, behalten Sie den standardmäßigen Cron-Zeitplan (alle 5 Minuten) bei, und klicken Sie dann auf Funktion erstellen.

  12. Klicken Sie auf den Funktionsnamen, und klicken Sie im linken Bereich auf Programmieren und testen.

  13. Kopieren Sie den Funktions-App-Code, und fügen Sie ihn in den Funktions-App-Editor run.ps1 ein.

  14. Klicken Sie auf Speichern.

  15. Konfigurieren Sie die Funktions-App.

  16. Klicken Sie auf dem Bildschirm „Funktions-App“ auf den Namen der Funktions-App, und wählen Sie Konfiguration aus.

  17. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.

  18. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln unter ihrem Namen hinzu, und geben Sie als Wert ihre jeweiligen Zeichenfolgenwerte (Groß-/Kleinschreibung beachten) an: apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (optional) (fügen Sie ggf. weitere von der Funktions-App benötigte Einstellungen hinzu). Legen Sie den Wert für uri fest: <add uri value>

Hinweis: Wenn Sie bei einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

  • Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
  1. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.