次の方法で共有


Microsoft Sentinel 用 TheHive Project - TheHive (Azure Functions を使用) コネクタ

TheHive データ コネクタには、Webhook を介して一般的な TheHive イベントを Microsoft Sentinel に取り込む機能が用意されています。 TheHive では、変更イベント (ケースの作成、アラートの更新、タスクの割り当て) を外部システムにリアルタイムで通知できます。 TheHive で変更が発生すると、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタ URL に送信されます。 詳細については、Webhooks ドキュメントを参照してください。 このコネクタは、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを取得する機能を提供します。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル TheHive_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Microsoft Corporation

クエリのサンプル

TheHive イベント - すべてのアクティビティ。

TheHive_CL

| sort by TimeGenerated desc

前提条件

TheHive Project - TheHive (Azure Functions を使用) と統合するには、次のものがあることを確認します。

ベンダーのインストール手順

注意

このデータ コネクタでは、ログを含む POST 要求を待機するために HTTP トリガーに基づく Azure Functions を使用して、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

注意

このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている TheHive) を利用して期待どおりに動作します。

手順 1 - TheHive の構成手順

手順に従って Webhook を構成します。

  1. 認証方法は "Bearer 認証" です。
  2. パスワード ポリシーに従って、TheHiveBearerToken を生成します。
  3. TheHiveBearerToken パラメーターを含む application.conf ファイルで Webhook 通知を設定します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと、関連付けられている Azure 関数をデプロイする

重要: TheHive データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピー可)。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。