Microsoft Sentinel 用 TheHive Project - TheHive (Azure Functions を使用) コネクタ
TheHive データ コネクタには、Webhook を介して一般的な TheHive イベントを Microsoft Sentinel に取り込む機能が用意されています。 TheHive では、変更イベント (ケースの作成、アラートの更新、タスクの割り当て) を外部システムにリアルタイムで通知できます。 TheHive で変更が発生すると、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタ URL に送信されます。 詳細については、Webhooks ドキュメントを参照してください。 このコネクタは、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを取得する機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
コネクタ属性 | 説明 |
---|---|
Log Analytics テーブル | TheHive_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Microsoft Corporation |
クエリのサンプル
TheHive イベント - すべてのアクティビティ。
TheHive_CL
| sort by TimeGenerated desc
前提条件
TheHive Project - TheHive (Azure Functions を使用) と統合するには、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Webhooks の資格情報/アクセス許可: Webhook を動作させるには、TheHiveBearerToken、コールバック URL が必要です。 詳細については、Webhook の構成に関するドキュメントを参照してください。
ベンダーのインストール手順
注意
このデータ コネクタでは、ログを含む POST 要求を待機するために HTTP トリガーに基づく Azure Functions を使用して、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている TheHive) を利用して期待どおりに動作します。
手順 1 - TheHive の構成手順
手順に従って Webhook を構成します。
- 認証方法は "ベアラー認証" です。
- パスワード ポリシーに従って、TheHiveBearerToken を生成します。
- TheHiveBearerToken パラメーターを含む application.conf ファイルで Webhook 通知を設定します。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと、関連付けられている Azure 関数をデプロイする
重要: TheHive データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピー可)。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。