Microsoft Sentinel 用の Tenable Vulnerability Management (Azure Functions を使用) コネクタ
TVM データ コネクタは、TVM REST API を使用して、資産と脆弱性のデータを Microsoft Sentinel に取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 このコネクタは、潜在的なセキュリティ リスクの調査、コンピューティング資産の分析情報の取得、構成の問題の診断などに役立つデータを取得する機能を提供します
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| アプリケーションの設定 | TenableAccessKey TenableSecretKey WorkspaceID WorkspaceKey logAnalyticsUri (省略可能) |
| Azure 関数アプリのコード | https://aka.ms/sentinel-TenableVMAzureSentinelConnector-functionapp |
| Log Analytics テーブル | Tenable_VM_Assets_CL Tenable_VM_Vuln_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Tenable |
クエリのサンプル
Tenable VM レポート - すべての資産
Tenable_VM_Assets_CL
| sort by TimeGenerated desc
Tenable VM レポート - すべての脆弱性
Tenable_VM_Vuln_CL
| sort by TimeGenerated desc
特定の資産ごとに一意の脆弱性を選択します。
Tenable_VM_Vuln_CL
| where asset_fqdn_s has "one.one.one.one"
| summarize any(asset_fqdn_s, plugin_id_d, plugin_cve_s) by plugin_id_d
すべての Azure 資産を選択します。
Tenable_VM_Assets_CL
| where isnotempty(azure_resource_id_s) or isnotempty(azure_vm_id_g)
前提条件
Tenable Vulnerability Management (Azure Functions を使用) との統合を行うには、以下を所持していることを確認してください。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- REST API の資格情報またはアクセス許可: Tenable の REST API にアクセスするには、TenableAccessKey と TenableSecretKey の両方が必要です。 API の詳細については、こちらのドキュメントを参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。
ベンダーのインストール手順
Note
このコネクタは、Azure Durable Functions を使用して TenableVM API に接続し、一定の間隔で資産と脆弱性を Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
Note
このデータ コネクタは、想定通りの機能のために Microsoft Sentinel Solution と共にデプロイされる Kusto 関数をベースとした脆弱性用の TenableVM パーサーと、資産用の TenableVM パーサーに依存しています。
ステップ 1 - TenableVM の構成ステップ
手順に従って必要な API 資格情報を取得します。
ステップ 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数アプリをデプロイする
Workspace データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピーできます)。
オプション 1 - Azure Resource Manager (ARM) テンプレート
この方法は、ARM テンプレートを使用する TenableVM Vulnerability Management レポート データ コネクタの自動デプロイで使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
ご希望のサブスクリプション、リソース グループ、場所を選択します。
TenableAccessKey と TenableSecretKey を入力してデプロイします。
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
以下のステップバイステップの手順を使用して、Azure Functions を使用して TenableVM Vulnerability Management レポート データ コネクタを手動でデプロイします (Visual Studio Code を介したデプロイ)。
1. 関数アプリをデプロイする
Azure 関数の開発には VS Code を準備する必要があります。
Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。
展開されたファイルから最上位のフォルダーを選択します。
アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。
プロンプトで、次の情報を入力します。
a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。
b. サブスクリプションの選択: 使用するサブスクリプションを選択します。
c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)
d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。 (例: TenableVMXXXXX)。
e. ランタイムの選択: [Python 3.11] を選びます。
f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。
デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。
関数アプリを構成するために、Azure portal に移動します。
2. 関数アプリを構成する
関数アプリで、関数アプリ名を選択し、[構成] を選択します。
[アプリケーション設定] タブで、 [新しいアプリケーション設定] を選択します。
次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別します)。
- TenableAccessKey
- TenableSecretKey
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (省略可能)
- 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、
https://<WorkspaceID>.ods.opinsights.azure.usの形式で値を指定します。
すべてのアプリケーション設定を入力したら、[保存] をクリックします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。