次の方法で共有


Microsoft Sentinel 用 AbnormalSecurity (Azure Functions を使用) コネクタ

Abnormal Security データ コネクタは、Abnormal Security Rest API を使って脅威とケースのログを Microsoft Sentinel に取り込む機能を提供します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
アプリケーションの設定 SENTINEL_WORKSPACE_ID
SENTINEL_SHARED_KEY
ABNORMAL_SECURITY_REST_API_TOKEN
logAnalyticsUri (省略可能) (関数アプリに必要なその他の設定を追加します) uri の値を <add uri value> に設定します
Azure 関数アプリのコード https://aka.ms/sentinel-abnormalsecurity-functionapp
Log Analytics テーブル ABNORMAL_THREAT_MESSAGES_CL
ABNORMAL_CASES_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Abnormal Security

クエリのサンプル

すべての Abnormal Security 脅威ログ

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

すべての Abnormal Security ケース ログ

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

前提条件

AbnormalSecurity と統合するには (Azure Functions を使用)、次のものがあることを確認します。

ベンダーのインストール手順

注意

このコネクタは、Azure Functions を使って Abnormal Security の REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳しくは、「Azure Functions の価格」ページを確認してください。

ステップ 1 - Abnormal Security API の構成手順

Abnormal Security から提供されているこちらの手順に従って、REST API の統合を構成します。 注: Abnormal Security アカウントが必要です

ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: Abnormal Security データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます)、および Abnormal Security REST API の認可トークンを、すぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

この方法では、ARM テンプレートを使って Abnormal Security コネクタを自動的にデプロイできます。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. ご希望の [サブスクリプション][リソース グループ][場所] を選択します。

  3. Microsoft Sentinel ワークスペース IDMicrosoft Sentinel 共有キーAbnormal Security REST API キーを入力します。

  • 既定の [時間間隔] では、最後の 5 分間のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することをお勧めします。
  1. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。
  2. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使って Abnormal Security データ コネクタを手動でデプロイするには、次の詳細な手順のようにします (Visual Studio Code によるデプロイ)。

1. 関数アプリをデプロイする

注: Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: AbnormalSecurityXX)。

    e. ランタイムの選択: [Python 3.11] を選択します。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

2. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
  2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
  3. 次の各アプリケーション設定を、それぞれの文字列値 (大文字と小文字を区別) と共に個別に追加します: SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (省略可能) (関数アプリで必要なその他の設定を追加します) uri の値を <add uri value> に設定します

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳しくは、Azure Key Vault のリファレンス ドキュメントをご覧ください。

  • 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us. の形式で値を指定します。
  1. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。