次の方法で共有


Microsoft Sentinel 用 CyberArkAudit (Azure Functions を使用) コネクタ

CyberArk Audit データ コネクタは、REST API を介して CyberArk Audit サービスのセキュリティ イベント ログとその他のイベントを Microsoft Sentinel に取得する機能を提供します。 このコネクタは、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを取得する機能を提供します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
アプリケーションの設定 CyberArkAuditUsername
CyberArkAuditPassword
CyberArkAuditServerURL
WorkspaceID
WorkspaceKey
logAnalyticsUri (省略可能)
Azure 関数アプリのコード https://aka.ms/sentinel-CyberArkAudit-functionapp
Log Analytics テーブル CyberArk_AuditEvents_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの CyberArk のサポート

クエリのサンプル

CyberArk Audit イベント - すべてのアクティビティ。

CyberArkAudit

| sort by TimeGenerated desc

前提条件

CyberArkAudit (Azure Functions を使用) と統合するには、次のものがあることをご確認ください:

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して Azure Blob Storage API に接続し、ログを Microsoft Sentinel にプルします。 これにより、データ インジェストと、Azure Blob Storage にデータを格納するための追加コストが発生する可能性があります。 詳細については、Azure Functions の価格ページAzure Blob Storage の価格ページを参照してください。

Note

API の認可キーまたはトークンが Azure Key Vault に安全に格納されます。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。

手順 1 - CyberArk Audit SIEM 統合の構成手順

手順に従って、接続の詳細と資格情報を取得します。

  1. CyberArk Audit アカウントのユーザー名とパスワードを使用します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする

重要: CyberArk Audit データ コネクタをデプロイする前に、ワークスペース名とワークスペースの場所を用意します (以下からコピーできます)。

Workspace Name

ワークスペースの場所

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して CyberArk Audit データ コネクタを自動的にデプロイするには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

注: 同じリソース グループ内では、Windows と Linux のアプリを同じリージョンに混在させることはできません。 Windows アプリが含まれていない既存のリソース グループを選択するか、新しいリソース グループを作成します。 3.CyberArkAuditUsernameCyberArkAuditPasswordCyberArkAuditServerURL を入力してデプロイします。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使用して CyberArk Audit データ コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。

1. 関数アプリをデプロイする

注: Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: CyberArkXXXXX)。

    e. ランタイムの選択: [Python 3.8] を選びます。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

2. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。

  2. [アプリケーションの設定] タブで、**[新しいアプリケーション設定]** を選択します。

  3. 次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別します)。

    • CyberArkAuditUsername
    • CyberArkAuditPassword
    • CyberArkAuditServerURL
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (省略可能)

    専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。

  4. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。