Microsoft Sentinel 用 Bitsight データ コネクタ (Azure Functions を使用) コネクタ
BitSight データ コネクタでは、Microsoft Sentinel に BitSight データを取り込むことによって、証拠ベースのサイバー リスク監視をサポートします。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Azure 関数アプリのコード | https://aka.ms/sentinel-BitSight-functionapp |
Log Analytics テーブル | Alerts_data_CL BitsightBreaches_data_CL BitsightCompany_details_CL BitsightCompany_rating_details_CL BitsightDiligence_historical_statistics_CL BitsightDiligence_statistics_CL BitsightFindings_data_CL BitsightFindings_summary_CL BitsightGraph_data_CL BitsightIndustrial_statistics_CL BitsightObservation_statistics_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | BitSight のサポート |
クエリのサンプル
BitSight アラート イベント - ポートフォリオ内のすべての会社のアラート イベント。
Alerts_data_CL
| sort by TimeGenerated desc
BitSight 侵害イベント - ポートフォリオ内のすべての会社の侵害イベント。
BitsightBreaches_data_CL
| sort by TimeGenerated desc
BitSight の会社の詳細イベント - ポートフォリオ内のすべての会社の会社の詳細イベント。
BitsightCompany_details_CL
| sort by TimeGenerated desc
BitSight の会社の評価イベント - すべての会社の会社の評価イベント。
BitsightCompany_rating_details_CL
| sort by TimeGenerated desc
BitSight のデリジェンス履歴統計イベント - すべての会社のデリジェンス履歴統計イベント。
BitsightDiligence_historical_statistics_CL
| sort by TimeGenerated desc
BitSight のデリジェンス統計イベント - すべての会社のデリジェンス統計イベント。
BitsightDiligence_statistics_CL
| sort by TimeGenerated desc
BitSight の結果イベント - すべての会社の結果イベント。
BitsightFindings_data_CL
| sort by TimeGenerated desc
BitSight の結果の概要イベント - すべての会社の結果の概要イベント。
BitsightFindings_summary_CL
| sort by TimeGenerated desc
BitSight のグラフ イベント - すべての会社のグラフ イベント。
BitsightGraph_data_CL
| sort by TimeGenerated desc
BitSight の産業統計イベント - すべての会社の産業統計イベント。
BitsightIndustrial_statistics_CL
| sort by TimeGenerated desc
BitSight の監視統計イベント - すべての会社の監視統計イベント。
BitsightObservation_statistics_CL
| sort by TimeGenerated desc
前提条件
Bitsight データ コネクタ (Azure Functions を使用) と統合するには、次のものがあることを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- REST API の資格情報/アクセス許可: BitSight API トークンが必要です。 API トークンの詳細については、ドキュメントを参照してください。
ベンダーのインストール手順
Note
このコネクタでは Azure Functions を使って BitSight API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - Bitsight API トークンを作成/取得する手順
BitSight API トークンを取得するには、次の手順に従います。
- SPM アプリの場合: [アカウント] ページの [ユーザー設定] タブを参照し、[設定] > [アカウント] > [ユーザー設定] > [API トークン] に移動します。
- TPRM アプリの場合: [アカウント] ページの [ユーザー設定] タブを参照し、[設定] > [アカウント] > [ユーザー設定] > [API トークン] に移動します。
- クラシック BitSight の場合: [アカウント] ページに移動し、[設定] > [アカウント] > [API トークン] に移動します。
手順 2 - Microsoft Entra ID でのアプリケーションのアプリ登録手順
この統合には、Azure portal でのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra ID で新しいアプリケーションを作成します。
- Azure portal にサインインします。
- Microsoft Entra ID を検索して選択します。
- [管理] で、[アプリの登録] > [新規登録] を選びます。
- アプリケーションの表示名を入力します。
- [登録] を選択して、初期のアプリ登録を完了します。
- 登録が完了すると、Azure portal に、アプリの登録の [概要] ペインが表示されます。 [アプリケーション (クライアント) ID] と [テナント ID] があります。 BitSight データ コネクタを実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。
参照リンク: /azure/active-directory/develop/quickstart-register-app
手順 3 - Microsoft Entra ID でアプリケーションのクライアント シークレットを追加する
アプリケーション パスワードと呼ばれることもあるクライアント シークレットは、BitSight データ コネクタの実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。
- Azure portal の [アプリの登録] で、対象のアプリケーションを選択します。
- [証明書 & シークレット]>[クライアント シークレット]>[新しいクライアント シークレット] を選択します。
- クライアント シークレットの説明を追加します。
- シークレットの有効期限を選択するか、カスタムの有効期間を指定します。 制限は 24 か月です。
- [追加] を選択します。
- クライアント アプリケーションのコードで使用できるように、"シークレットの値を記録します"。 このページからの移動後は、このシークレットの値は "二度と表示されません"。 シークレット値は、BitSight データ コネクタを実行するための構成パラメーターとして必要です。
参照リンク: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret
手順 4 - Microsoft Entra ID でアプリケーションに共同作成者のロールを割り当てる
このセクションの手順に従って、ロールを割り当てます。
- Azure portal で [リソース グループ] に移動し、自分のリソース グループを選択します。
- 左側のパネルから [アクセスの制御 (IAM)] に移動します。
- [+ 追加] をクリックし、[ロールの割り当ての追加] を選択します
- ロールとして [共同作成者] を選択し、[次へ] をクリックします。
- [アクセスの割り当て先] で [
User, group, or service principal
] を選択します。 - [メンバーの追加] をクリックし、作成したアプリ名を入力して選択します。
- [確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。
参照リンク: /azure/role-based-access-control/role-assignments-portal
手順 5 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタおよび関連付けられている Azure 関数をデプロイする
重要: BitSight データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および BitSight API トークンをすぐに使用できるようにしておいてください。
オプション 1 - Azure Resource Manager (ARM) テンプレート
BitSight コネクタの自動デプロイには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
次の情報を追加します。
- 関数名
- ワークスペース ID
- ワークスペース キー
- API_token
- 会社
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- ログ レベル
- [スケジュール]
- Schedule_Portfolio
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
Azure Functions を使用して BitSight データ コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。
1. 関数アプリをデプロイする
注: Azure 関数の開発には VS Code を準備する必要があります。
Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。
展開されたファイルから最上位のフォルダーを選択します。
アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。
プロンプトで、次の情報を入力します。
a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。
b. サブスクリプションの選択: 使用するサブスクリプションを選択します。
c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)
d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: BitSightXXXXX)。
e. Select a runtime (ランタイムの選択): Python 3.8 以上を選択します。
f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。
デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。
関数アプリを構成するために、Azure portal に移動します。
2. 関数アプリを構成する
- 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
- [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
- 次の各アプリケーション設定を、それぞれの値で個別に追加します (大文字と小文字を区別します)。
- ワークスペース ID
- ワークスペース キー
- API_token
- 会社
- Azure_Client_Id
- Azure_Client_Secret
- Azure_Tenant_Id
- Portfolio_Companies_Table_Name
- Alerts_Table_Name
- Breaches_Table_Name
- Company_Table_Name
- Company_Rating_Details_Table_Name
- Diligence_Historical_Statistics_Table_Name
- Diligence_Statistics_Table_Name
- Findings_Summary_Table_Name
- Findings_Table_Name
- Graph_Table_Name
- Industrial_Statistics_Table_Name
- Observation_Statistics_Table_Name
- ログ レベル
- [スケジュール]
- Schedule_Portfolio
- すべてのアプリケーション設定を入力したら、[保存] をクリックします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。