Partager via

Connecteur CommvaultSecurityIQ (avec Azure Functions) pour Microsoft Sentinel

  • Article

Cette fonction Azure permet aux utilisateurs Commvault d’ingérer des alertes/événements dans leur instance Microsoft Sentinel. Avec les règles analytiques, Microsoft Sentinel peut créer automatiquement des incidents Microsoft Sentinel à partir d’événements et de journaux entrants.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Paramètres d’application apiUsername
apiPassword
apiToken
workspaceID
workspaceKey
URI
logAnalyticsUri (facultatif)(ajoutez tous les autres paramètres requis par l’application de fonction)Définissez la valeur uri sur : <add uri value>
Code d’application de fonction Azure Add%20GitHub%20link%20to%20Function%20App%20code
Table(s) Log Analytics CommvaultSecurityIQ_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Commvault

Exemples de requête

**10 derniers événements/alertes **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Prérequis

Pour intégrer CommvaultSecurityIQ (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • URL du point de terminaison d’environnement Commvault: veillez à suivre la documentation et à définir la valeur secrète dans KeyVault
  • Jeton QSDK Commvault: veillez à suivre la documentation et à définir la valeur secrète dans KeyVault

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à une instance Commvault et extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Étapes de configuration pour le jeton QSDK Commvalut

Suivez ces instructions pour créer un jeton d’API.

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur de données CommvaultSecurityIQ, vous devez avoir à portée de main l’ID d’espace de travail et de la clé primaire de l’espace de travail (peut être copiée à partir des éléments suivants), ainsi que l’URL du point de terminaison Commvault et du jeton QSDK.

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données Commvault Security IQ.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez l’ID d’espace de travail, la clé d’espace de travail, le nom d’utilisateur d’API et le mot de passe d’API, et/ou renseignez d’autres champs obligatoires.

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.

Option 2 – Déploiement manuel d’Azure Functions

Suivez les instructions pas à pas suivantes pour déployer manuellement le connecteur CommvaultSecurityIQ avec Azure Functions.

  1. Créer une application de fonction

  2. Dans le portail Azure, accédez à Application de fonction.

  3. Cliquez sur + Ajouter en haut.

  4. Sous l’onglet Informations de base, vérifiez que la pile d’exécution est définie sur Ajouter le langage requis.

  5. Sous l’onglet Hébergement, vérifiez que Type de plan est défini sur Ajouter un type de plan.

  6. Ajoutez d’autres configurations supplémentaires requises.

  7. Apportez d’autres modifications de configuration si nécessaire, puis cliquez sur Créer.

  8. Importer le code Function App

  9. Dans l’application de fonction que vous venez de créer, sélectionnez Fonctions dans le menu de navigation et cliquez sur + Ajouter.

  10. Sélectionnez Déclencheur de minuteur.

  11. Entrez un Nom de fonction unique dans le champ Nouvelle fonction, laissez la planification cron définie par défaut sur toutes les 5 minutes, puis cliquez sur Créer une fonction.

  12. Cliquez sur le nom de la fonction, puis sur Code + Test dans le volet gauche.

  13. Copiez le Code de l’application de fonction et collez-le dans l’éditeur d’application de fonction run.ps1.

  14. Cliquez sur Enregistrer.

  15. Configurer l’application de fonction

  16. Dans l’écran de l’application de fonction, cliquez sur le nom de l’application de fonction et sélectionnez Configuration.

  17. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.

  18. Ajoutez chacun des paramètres d’application « x (nombre de) » suivants individuellement, sous Nom, avec leurs valeurs de chaîne respectives (respectant la casse) sous Valeur : apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (facultatif) (ajouter tout autre paramètre requis par l’application de fonction) Définissez la valeur uri sur : <add uri value>

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références d’Azure Key Vault.

  • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
  1. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.