Connettore Workplace from Facebook (con Funzioni di Azure) per Microsoft Sentinel
Il connettore dati Workplace offre la possibilità di inserire eventi di Workplace comuni in Microsoft Sentinel tramite webhook. I webhook consentono alle app di integrazione personalizzate di sottoscrivere eventi in Workplace e ricevere aggiornamenti in tempo reale. Quando si verifica una modifica in Workplace, viene inviata una richiesta HTTPS POST con informazioni sugli eventi a un URL del connettore dati di callback. Per altre informazioni, vedere la documentazione dei webhook. Il connettore consente di ottenere eventi che aiutano a esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
Attributo connettore | Descrizione |
---|---|
Tabelle Log Analytics | Workplace_Facebook_CL |
Supporto regole di raccolta dati | Non è al momento supportato |
Supportata da: | Microsoft Corporation |
Esempi di query
Eventi dell'area di lavoro : tutte le attività.
Workplace_Facebook_CL
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con Workplace da Facebook (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Credenziali/autorizzazioni webhook: WorkplaceAppSecret, WorkplaceVerifyToken, URL di callback sono necessari per i webhook funzionanti. Per altre informazioni sulla configurazione dei webhook, sulla configurazione delle autorizzazioni, vedere la documentazione.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati usa Funzioni di Azure basato sul trigger HTTP per attendere le richieste POST con i log per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app Funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto, che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Log di Microsoft Sentinel, fare clic su Funzioni e cercare l'alias WorkplaceFacebook e caricare il codice della funzione oppure fare clic qui nella seconda riga della query, immettere i nomi host dei dispositivi Workplace Facebook e qualsiasi altro identificatore univoco per il logstream. La funzione richiede in genere 10-15 minuti per l'attivazione dopo l'installazione/aggiornamento della soluzione.
PASSAGGIO 1 - Passaggi di configurazione per l'area di lavoro
Seguire le istruzioni per configurare i webhook.
- Accedere all'area di lavoro con le credenziali dell'utente amministratore.
- Nel pannello Amministrazione fare clic su Integrazioni.
- Nella visualizzazione Tutte le integrazioni fare clic su Crea integrazione personalizzata
- Immettere il nome e la descrizione e fare clic su Crea.
- Nel pannello Dettagli integrazione mostra il segreto e la copia dell'app.
- Nel pannello Autorizzazioni di integrazione impostare tutte le autorizzazioni di lettura. Per informazioni dettagliate, vedere la pagina delle autorizzazioni.
- Procedere ora con il passaggio 2 per seguire i passaggi elencati nell'opzione 1 o 2 per distribuire la funzione di Azure.
- Immettere i parametri richiesti e immettere anche un token di scelta. Copiare questo token/annotarlo per il passaggio successivo.
- Al termine della distribuzione di Funzioni di Azure, aprire la pagina Dell'app per le funzioni, selezionare l'app, passare a Funzioni, fare clic su Recupera URL funzione e copiare questo/Annotarlo per il passaggio successivo.
- Torna a Workplace da Facebook. Nel pannello Configure webhooks (Configura webhook) in ogni URL callback set tabulazioni dello stesso valore copiato nel punto 9 precedente e Verify token (Verifica token) dello stesso valore copiato nel punto 8 precedente, ottenuto durante il PASSAGGIO 2 della distribuzione Funzioni di Azure.
- Fare clic su Salva.
PASSAGGIO 2: scegliere UNA tra le due opzioni di distribuzione seguenti per distribuire il connettore e il Funzioni di Azure associato
IMPORTANTE: prima di distribuire il connettore dati workplace, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.