Partager via


Connecteur API Protection pour Microsoft Sentinel

Connecte la protection d’API 42Crunch à Azure Log Analytics via l’interface API REST

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics apifirewall_log_1_CL
Prise en charge des règles de collecte des données Non prise en charge pour le moment
Pris en charge par Protection d’API 42Crunch

Exemples de requête

Demandes d’API dont le débit était limité

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Demandes d’API générant une erreur de serveur

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Échec de la validation JWT des demandes d’API

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Instructions d’installation du fournisseur

Étape 1 : Lire la documentation détaillée

Le processus d’installation est documenté en détail dans l’intégration de Microsoft Sentinel dans le référentiel GitHub. L’utilisateur doit consulter ce référentiel plus en détail pour comprendre l’installation et le débogage de l’intégration.

Étape 2 : Récupérer les informations d’identification d’accès à l’espace de travail

La première étape de l’installation consiste à récupérer à la fois votre ID d’espace de travail et votre Clé primaire à partir de la plateforme Microsoft Sentinel. Copiez les valeurs indiquées ci-dessous et enregistrez-les pour la configuration de l’intégration du redirecteur de journal d’API.

Étape 3 : Installer la protection 42Crunch et le redirecteur de journal

L’étape suivante consiste à installer la protection 42Crunch et le redirecteur de journal pour protéger votre API. Les deux composants sont disponibles en tant que conteneurs à partir du référentiel 42Crunch. L’installation exacte dépend de votre environnement. Pour plus d’informations, consultez la documentation sur la protection 42Crunch. Deux scénarios d’installation courants sont décrits ci-dessous :

Installation via Docker Compose

La solution peut être installée à l’aide d’un fichier de composition Docker.

Installation via des graphiques Helm

La solution peut être installée à l’aide d’un graphique Helm.

Étape 4 : Tester l’ingestion des données

Pour tester l’ingestion des données, l’utilisateur doit déployer l’exemple d’application httpbin avec la protection 42Crunch et le redirecteur de journal décrits en détail ici.

4.1 Installer l’exemple

L’exemple d’application peut être installé localement en utilisant un fichier Docker Compose qui installe le serveur d’API httpbin, la protection d’API 42Crunch et le redirecteur de journaux Microsoft Sentinel. Définissez les variables d’environnement en fonction des besoins à l’aide des valeurs copiées à l’étape 2.

4.2. Exécution de l'exemple

Vérifiez que la protection d’API est connectée à la plateforme 42Crunch, puis utilisez l’API localement sur le localhost du port 8080 en utilisant cURL ou un outil similaire. Vous devez voir un mélange d’appels d’API réussis et d’échecs.

4.3 Vérifier l’ingestion des données sur Log Analytics

Après environ 20 minutes, accédez à l’espace de travail Log Analytics sur votre installation Microsoft Sentinel, puis recherchez la section Journaux personnalisés pour vérifier qu’il existe une table apifirewall_log_1_CL. Utilisez les exemples de requêtes pour examiner les données.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.