Microsoft Sentinel 用 API Protection コネクタ
REST API インターフェイス経由で 42Crunch API 保護を Azure Log Analytics に接続します
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | apifirewall_log_1_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | 42Crunch API Protection |
クエリのサンプル
レート制限された API 要求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
サーバー エラーを生成する API 要求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
JWT 検証に失敗する API 要求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
ベンダーのインストール手順
手順 1: 詳細なドキュメントを読む
インストール プロセスの詳細については、GitHub リポジトリの Microsoft Sentinel 統合に関するページを参照してください。 ユーザーは、統合のインストールとデバッグを理解するために、このリポジトリを詳細に参照する必要があります。
手順 2: ワークスペース アクセス資格情報を取得する
最初のインストール手順は、Microsoft Sentinel プラットフォームからワークスペース ID と主キーの両方を取得することです。 以下に示す値をコピーし、API ログ フォワーダー統合の構成のために保存します。
手順 3: 42Crunch 保護とログ フォワーダーをインストールする
次の手順は、API を保護するために 42Crunch 保護とログ フォワーダーをインストールすることです。 どちらのコンポーネントも、42Crunch リポジトリからコンテナーとして入手できます。 正確なインストールは環境によって異なります。詳細については、42Crunch 保護のドキュメントを参照してください。 以下で、2 つの一般的なインストール シナリオについて説明します。
Docker Compose 経由のインストール
このソリューションは、Docker Compose ファイルを使用してインストールできます。
Helm チャート経由のインストール
このソリューションは、Helm チャートを使用してインストールできます。
手順 4: データ インジェストをテストする
データ インジェストをテストするには、ユーザーがサンプル "httpbin" アプリケーションを、ここで詳しく説明されている 42Crunch 保護とログ フォワーダーと合わせてデプロイする必要があります。
4.1 サンプルをインストールする
httpbin API サーバー、42Crunch API 保護、Microsoft Sentinel ログ フォワーダーをインストールする Docker Compose ファイルを使って、サンプル アプリケーションをローカル環境にインストールできます。 手順 2 でコピーした値を使用して、必要に応じて環境変数を設定します。
4.2 サンプルを実行する
API 保護が 42Crunch プラットフォームに接続されていることを確認し、curl などを使用して、localhost のポート 8080 でローカルで API を実行します。 API 呼び出しの成功と失敗が混在して表示されます。
4.3 Log Analytics でデータ インジェストを確認する
約 20 分後に、Microsoft Sentinel のインストールで Log Analytics ワークスペースにアクセスし、Custom Logs セクションを見つけて apifirewall_log_1_CL テーブルが存在することを確認します。 サンプル クエリを使用してデータを調べます。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。