次の方法で共有


Microsoft Sentinel 用 Rubrik Security Cloud データ コネクタ (Azure Functions を使用) コネクタ

Rubrik Security Cloud データ コネクタを使用すると、セキュリティ運用チームが、Rubrik の Data Observability サービスの分析情報を Microsoft Sentinel に統合できます。 分析情報には、ランサムウェアと大量削除に関連する異常なファイルシステムの動作の特定、ランサムウェア攻撃範囲の評価、潜在的なインシデントの優先順位付けと迅速な調査を行う機密データ演算子が含まれます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics テーブル Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Rubrik

クエリのサンプル

Rubrik の異常イベント - すべての重大度の種類の異常イベント。

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik のランサムウェア分析イベント - すべての重大度の種類のランサムウェア分析イベント。

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik の脅威追跡イベント - すべての重大度の種類の脅威追跡イベント。

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

前提条件

Rubrik Security Cloud データ コネクタ (Azure Functions を使用) と統合するには、次のものがあることを確認してください。

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して、ログを Microsoft Sentinel にプルする Rubrik Webhook に接続します。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

手順 1 - 次の 2 つのデプロイ オプションのいずれかを選択し、コネクタと、関連付けられている Azure 関数をデプロイする

重要: Rubrik Microsoft Sentinel データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーをすぐに使用できるように用意してください (次からコピーできます)。

オプション 1 - Azure Resource Manager (ARM) テンプレート

Rubrik コネクタの自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. 以下の情報を入力します。関数名 ワークスペース ID ワークスペース キー Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel

  4. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

Azure Functions を使用して Rubrik Microsoft Sentinel データ コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code 経由のデプロイ)。

1. 関数アプリをデプロイする

注: Azure 関数の開発には VS Code を準備する必要があります。

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。

  2. VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。

  3. 展開されたファイルから最上位のフォルダーを選択します。

  4. アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。

  5. プロンプトで、次の情報を入力します。

    a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。

    b. サブスクリプションの選択: 使用するサブスクリプションを選択します。

    c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)

    d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: RubrikXXXXX)。

    e. Select a runtime (ランタイムの選択): Python 3.8 以上を選択します。

    f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。

  6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

  7. 関数アプリを構成するために、Azure portal に移動します。

2. 関数アプリを構成する

  1. 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
  2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
  3. 次の各アプリケーション設定を、それぞれの値で個別に追加します (大文字と小文字を区別)。WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (省略可能)
  • logAnalyticsUri を使用して、専用クラウドの Log Analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。
  1. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

デプロイ後の手順

  1. 関数アプリ エンドポイントを取得する
  1. Azure 関数の [概要] ページに移動し、[関数] タブをクリックします。
  2. [RubrikHttpStarter] という名前の関数をクリックします。
  3. [GetFunctionurl] に移動し、関数の URL をコピーします。
  1. RubrikSecurityCloud に Webhook を追加して、Microsoft Sentinel にデータを送信します。

Rubrik ユーザー ガイドの手順に従って Webhook を追加し、ランサムウェアの異常に関連するイベント情報の受信を開始します

  1. Webhook プロバイダーとして [汎用] を選択します (CEF 形式のイベント情報が使用されます)
  2. コピーした Function-url の URL 部分を Webhook URL エンドポイントとして入力し、Rubrik Microsoft Sentinel Solution 用に {functionname}"RubrikAnomalyOrchestrator" に置き換えます
  3. [Advanced or Custom Authentication] (高度またはカスタム認証) オプションを選択します
  4. HTTP ヘッダーとして「x-functions-key」と入力します
  5. HTTP 値として関数アクセス キー (コピーした function-url のコード パラメータの値) を入力します (注: 今後 Microsoft Sentinel でこの関数アクセス キーを変更する場合は、この Webhook 構成を更新する必要があります)
  6. [異常] として EventType を選択します
  7. 次の重大度レベルを選択します。重大、警告、情報
  8. 同じ手順を繰り返して、ランサムウェア調査分析と脅威追跡用の Webhook を追加します。

注: ランサムウェア調査分析と脅威追跡用の Webhook を追加するときに、コピーした function-url で {functionname} をそれぞれ "RubrikRansomwareOrchestrator""RubrikThreatHuntOrchestrator" に置き換えます。

これで、Rubrik Webhook の構成が完了しました。 Webhook イベントがトリガーされると、Rubrik の異常、ランサムウェア調査分析、脅威追跡の各イベントがそれぞれ、"Rubrik_Anomaly_Data_CL"、"Rubrik_Ransomware_Data_CL"、"Rubrik_ThreatHunt_Data_CL" という名前の LogAnalytics ワークスペース テーブルに表示されます。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。