Microsoft Sentinel 用の WithSecure Elements API (Azure Function) (Azure Functions を使用) コネクタ
WithSecure Elements は、リスク、複雑さ、非効率性を軽減するように設計された、統合されたクラウドベースのサイバー セキュリティ プラットフォームです。
セキュリティをエンドポイントからクラウド アプリケーションに昇格させます。 標的型攻撃からゼロデイ ランサムウェアまで、あらゆる種類のサイバー脅威に備えます。
WithSecure Elements は、強力な予測、予防、応答性の高いセキュリティ機能を組み合わせたものであり、すべてが 1 つのセキュリティ センターを介して管理および監視されます。 モジュール構造と柔軟な価格モデルにより、進化の自由が得られます。 当社の専門知識と分析情報により、いつでも権限を与えられ、一人になることはありません。
Microsoft Sentinel 統合を使用すると、WithSecure Elements ソリューションのセキュリティ イベント データを他のソースからのデータと関連付けて、環境全体の豊富な概要を得て、脅威に迅速に対応できます。
このソリューションでは、Azure 関数がテナントにデプロイされ、WithSecure Elements セキュリティ イベントが定期的にポーリングされます。
詳細については、Microsoft の Web サイト https://www.withsecure.com を参照してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | WsSecurityEvents_CL (WithSecure イベント) |
| データ収集ルールのサポート | ワークスペース変換 DCR |
| サポートしているもの | WithSecure |
クエリのサンプル
すべてのログ
WsSecurityEvents_CL
| sort by TimeGenerated
前提条件
WithSecure Elements API (Azure 関数) (Azure Functions を使用) と統合するには、次があることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- WithSecure Elements API クライアント資格情報: クライアント資格情報が必要です。 詳細については、このドキュメントを参照してください。
ベンダーのインストール手順
- WithSecure Elements API 資格情報を作成する
ユーザー ガイドに従って Elements API 資格情報を作成します。 資格情報を安全な場所に保存します。
- Microsoft Entra アプリケーションを作成する
新しい Microsoft Entra アプリケーションと資格情報を作成します。 指示に従い、ディレクトリ (テナント) ID、オブジェクト ID、アプリケーション (クライアント) ID、([クライアントの資格情報] フィールドの) クライアント シークレット の値を保存します。 クライアント シークレットは必ず安全な場所に保存してください。
- 関数アプリのデプロイ
Note
このコネクタでは、Azure Functions を使用して WithSecure Elements からログをプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) Microsoft Entra クライアント資格情報と WithSecure Elements API クライアント資格情報を Azure Key Vault に安全に保存します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
重要: WithSecure Elements コネクタをデプロイする前に、ワークスペース名 (次からコピーできます)、Microsoft Entra からのデータ (ディレクトリ (テナント) ID、オブジェクト ID、アプリケーション (クライアント) ID、クライアント シークレット)、WithSecure Elements クライアント資格情報をすぐに使用できるようにします。
Workspace Name
コネクタに関連するすべてのリソースをデプロイする
下の [Azure へのデプロイ] ボタンをクリックします。
お使いの [サブスクリプション]、[リソース グループ]、[場所] を選択します。
[ワークスペース ID]、[Entra クライアント ID]、[Entra クライアント シークレット]、[Entra テナント ID]、[Elements API クライアント ID]、[Elements API クライアント シークレット] を入力します。 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。省略可能なフィールド [Elements API URL]、[エンジン]、[エンジン グループ] を入力することもできます。 特別なケースがない限り、[Elements API URL] の既定値を使用します。 [エンジン] と [エンジン グループ] は、セキュリティ イベント要求パラメーターにマップされます。特定のエンジンまたはエンジン グループからのイベントのみを使用する場合は、これらのパラメーターを入力します。すべてのセキュリティ イベントを受信する場合は、フィールドを既定値のままにします。
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。