次の方法で共有

Microsoft Sentinel 用 CommvaultSecurityIQ (Azure Functions を使用) コネクタ

  • [アーティクル]

この Azure 関数を使用すると、Commvault ユーザーは Microsoft Sentinel インスタンスにアラート/イベントを取り込むことができます。 分析ルールを使用すると、Microsoft Sentinel では受信イベントとログから Microsoft Sentinel インシデントを自動的に作成できます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
アプリケーションの設定 apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (省略可能) (関数アプリに必要なその他の設定を追加します) uri の値を <add uri value> に設定します
Azure 関数アプリのコード Add%20GitHub%20link%20to%20Function%20App%20code
Log Analytics テーブル CommvaultSecurityIQ_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Commvault

クエリのサンプル

**過去 10 件のイベント/アラート**

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

前提条件

CommvaultSecurityIQ と統合する (Azure Functions を使用) には、以下があることを確認します。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • Commvault 環境エンドポイント URL: 必ずドキュメントに従い、KeyVault でシークレット値を設定してください
  • Commvault QSDK トークン: 必ずドキュメントに従い、KeyVault でシークレット値を設定してください

ベンダーのインストール手順

Note

このコネクタでは、Azure Functions を使用して Commvault インスタンスに接続し、そのログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

手順 1 - Commvalut QSDK トークンの構成手順

これらの手順に従って、API トークンを作成します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: CommvaultSecurityIQ データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます)、および Commvault エンドポイント URL と QSDK トークンをすぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

Commvault Security IQ データ コネクタの自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. ご希望の [サブスクリプション][リソース グループ][場所] を選択します。

  3. ワークスペース IDワークスペース キーAPI ユーザー名API パスワード、またはその他の必須フィールドに入力します。

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

次の詳細な説明に従い、Azure Functions を使って CommvaultSecurityIQ データ コネクタを手動でデプロイします。

  1. 関数アプリを作成する

  2. Azure portal から [関数アプリ] に移動します。

  3. 上部にある [+ 追加] をクリックします。

  4. [基本] タブで、[ランタイム スタック] が [必須の言語の追加] に設定されていることを確認します。

  5. [ホスティング] タブで、[プランの種類][プランの種類の追加] に設定されていることを確認します。

  6. その他の必須の構成を追加します。

  7. 必要に応じてその他の希望の構成変更を行い、[作成] をクリックします。

  8. 関数アプリ コードをインポートする

  9. 新しく作成した関数アプリで、ナビゲーション メニューから [関数] を選択し、[+ 追加] をクリックします。

  10. [タイマー トリガー] を選択します。

  11. [新しい関数] フィールドに一意の関数の [名前] を入力し、既定の cron スケジュールを 5 分ごとのままにして、[関数の作成] をクリックします。

  12. 関数名をクリックし、左側のペインで [コードとテスト] をクリックします。

  13. 関数アプリ コードをコピーし、関数アプリ run.ps1 エディターに貼り付けます。

  14. [保存] をクリックします。

  15. 関数アプリを構成する

  16. [関数アプリ] 画面で、関数アプリ名をクリックし、[構成] を選択します。

  17. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。

  18. 次の "x (個の)" 各アプリケーション設定を、apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (省略可能) 値の下に、それぞれの文字列値で個別に追加します (大文字と小文字を区別) (関数アプリで必要な任意の他の設定を追加) uri 値を <add uri value> に設定します。

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳しくは、Azure Key Vault のリファレンス ドキュメントをご覧ください。

  • 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。
  1. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。