Compartir a través de

Conector Slack Audit (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector de datos de Slack Audit proporciona la capacidad de ingerir eventos de Slack Audit Records en Microsoft Sentinel mediante la API REST. Para más información, consulte la documentación de la API. El conector permite obtener eventos que ayudan a examinar posibles riesgos de seguridad, analizar el uso de la colaboración por parte de su equipo, diagnosticar problemas de configuración y mucho más.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Alias de función de Kusto SlackAudit
URL de función de Kusto https://aka.ms/sentinel-SlackAuditAPI-parser
Tabla de Log Analytics SlackAudit_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Microsoft Corporation

Ejemplos de consultas

Eventos de Slack Audit: todas las actividades.

SlackAudit

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Slack Audit (mediante Azure Functions), asegúrese de que tiene:

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a la API REST de Slack para extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Nota

Este conector de datos depende de un analizador basado en una función de Kusto para funcionar según lo previsto. Siga estos pasos para crear el alias de Functions de Kusto, SlackAudit.

PASO 1: Pasos de configuración para la API de Slack

Siga las instrucciones para obtener las credenciales.

PASO 2: Seleccione UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

Importante

Antes de desplegar el conector de datos de Auditoría de Slack, ten a mano el ID del espacio de trabajo y la clave principal del espacio de trabajo (puedes copiarlos de lo siguiente).

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos de Slack Audit mediante una plantilla de ARM.

  1. Seleccione el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

    Nota:

    Dentro del mismo grupo de recursos, no se pueden mezclar aplicaciones Windows y Linux en la misma región. Seleccione el grupo de recursos existente sin aplicaciones de Windows en él o cree un grupo de recursos.

  3. Escriba SlackAPIBearerToken y realice la implementación.

  4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  5. Seleccione Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones paso a paso para implementar el conector de datos de Slack Audit manualmente con Azure Functions (implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

Nota

Deberá preparar VS Code para el desarrollo de funciones de Azure.

  1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

  2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

  3. Seleccione la carpeta de nivel superior de los archivos extraídos.

  4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones.

    • Si todavía no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, elija Iniciar sesión en Azure
    • Si ya había iniciado sesión, vaya a la siguiente sección.

  5. Escriba la siguiente información cuando se le indique:

    a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

    b. Seleccionar la suscripción: elija la suscripción que desee usar.

    c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

    d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (e.g. SlackAuditXXXXX).

    e. Seleccionar un entorno de ejecución: elija Python 3.8.

    f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

  6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

  7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. Configuración de la aplicación de funciones

  1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.

  2. En la pestaña Configuración de aplicaciones, seleccione Nueva configuración de aplicación.

  3. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas):

    • SlackAPIBearerToken
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (opcional)

    Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us.

  4. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.