Compartir a través de

CommvaultSecurityIQ (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

Esta función de Azure permite a los usuarios de Commvault ingerir alertas o eventos en su instancia de Microsoft Sentinel. Con las reglas analíticas, Microsoft Sentinel puede crear automáticamente incidentes de Microsoft Sentinel a partir de eventos y registros entrantes.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Configuración de la aplicación apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por la aplicación de funciones). Establezca el valor uri en <add uri value>.
Código de la aplicación de funciones de Azure Add%20GitHub%20link%20to%20Function%20App%20code
Tabla de Log Analytics CommvaultSecurityIQ_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Commvault

Ejemplos de consultas

**Últimos 10 eventos/alertas **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Requisitos previos

Para realizar la integración con CommvaultSecurityIQ (mediante Azure Functions), asegúrese de que tiene:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
  • Dirección URL del punto de conexión del entorno de Commvault: asegúrese de seguir la documentación y establecer el valor del secreto en KeyVault
  • Token de QSDK de Commvault: asegúrese de seguir la documentación y establecer el valor del secreto en KeyVault

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a un "CyberBlindSpot" para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración para el token de QSDK de Commvault

Siga estas instrucciones para crear un token de API.

PASO 2: Seleccione UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos CommvaultSecurityIQ, tenga el identificador del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente), así como la dirección URL del punto de conexión de Commvault y el token de QSDK, disponibles fácilmente.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos commvault Security IQ.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba el Id. del área de trabajo, la Clave del área de trabajo, el Nombre de usuario de la API, la Contraseña de la API y los demás campos obligatorios.

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada. 4. Active la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar manualmente el conector de datos CommvaultSecurityIQ con Azure Functions.

  1. Creación de una aplicación de funciones

  2. En Azure Portal, vaya a Aplicación de funciones.

  3. Haga clic en +Agregar en la parte superior.

  4. En la pestaña Aspectos básicos, asegúrese de que la pila en tiempo de ejecución esté establecida en "Agregar idioma obligatorio".

  5. En la pestaña Hospedaje, asegúrese de que Tipo de plan está establecido en "Agregar tipo de plan".

  6. Agregue otras configuraciones necesarias.

  7. Realice otros cambios de configuración preferibles; si es necesario, haga clic en Crear.

  8. Importe el código de la aplicación de funciones

  9. En la aplicación de funciones recién creada, seleccione Funciones en el menú de navegación y haga clic en +Agregar.

  10. Seleccione Desencadenador de temporizador.

  11. Escriba un nombre de función único en el campo "Nueva función" y deje la programación cron predeterminada de cada 5 minutos; a continuación, haga clic en Crear función.

  12. Haga clic en el nombre de la función y en Código y prueba en el panel izquierdo.

  13. Copie el Código de la aplicación de funciones y péguelo en el editor run.ps1 de la aplicación de funciones.

  14. Haga clic en Save(Guardar).

  15. Configuración de la aplicación de funciones

  16. En la pantalla "Aplicación de funciones", haga clic en el nombre de la aplicación de funciones y seleccione Configuración.

  17. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.

  18. En "Nombre", agregue cada una de las siguientes opciones de configuración de aplicación "x (número de)" individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas) en "Valor": apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por la aplicación de funciones). Establezca el valor uri en <add uri value>.

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Para más información, consulte la documentación de referencias de Azure Key Vault.

  • Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us.
  1. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.