Microsoft Sentinel 用 Snowflake (Azure Functions を使用) コネクタ
Cohesity 関数アプリは、Cohesity Datahawk ランサムウェア アラートを Microsoft Sentinel に取り込む機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Cohesity_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Cohesity |
クエリのサンプル
すべての Cohesity ログ
Cohesity_CL
| sort by TimeGenerated desc
前提条件
Cohesity (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Azure Blob Storage の接続文字列とコンテナー名: Azure Blob Storage の接続文字列とコンテナー名。
ベンダーのインストール手順
注意
このコネクタは、Azure Blob Storage と KeyVault に接続する Azure Functions を使います。 これにより、追加のコストが発生する可能性があります。 詳しくは、Azure Functions の価格のページ、Azure Blob Storage の価格のページ、Azure KeyVault の価格のページをご覧ください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure Functions App で Azure Key Vault を使用するには、これらの手順に従います。
ステップ 1 - Cohesity DataHawk の API キーを取得する (トラブルシューティング手順 1 を参照)
ステップ 2 - Azure アプリを登録し (リンク)、アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、シークレット値を保存する (手順)。 それに Azure Storage (user_impersonation) のアクセス許可を付与します。 また、適切なサブスクリプションのアプリケーションに "Microsoft Sentinel 共同作成者" ロールを割り当てます。
ステップ 3 - コネクタおよび関連する Azure Functions をデプロイする。
Azure Resource Manager (ARM) テンプレート
ARM テンプレートを使用して Cohesity データ コネクタを自動的にデプロイするには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
前の手順で作成したパラメーターを入力します
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。