次の方法で共有


Microsoft Sentinel 用の WithSecure Elements API (Azure Function) (Azure Functions を使用) コネクタ

WithSecure Elements は、リスク、複雑さ、非効率性を軽減するように設計された、統合されたクラウドベースのサイバー セキュリティ プラットフォームです。

セキュリティをエンドポイントからクラウド アプリケーションに昇格させます。 標的型攻撃からゼロデイ ランサムウェアまで、あらゆる種類のサイバー脅威に備えます。

WithSecure Elements は、強力な予測、予防、応答性の高いセキュリティ機能を組み合わせたものであり、すべてが 1 つのセキュリティ センターを介して管理および監視されます。 モジュール構造と柔軟な価格モデルにより、進化の自由が得られます。 当社の専門知識と分析情報により、いつでも権限を与えられ、一人になることはありません。

Microsoft Sentinel 統合を使用すると、WithSecure Elements ソリューションのセキュリティ イベント データを他のソースからのデータと関連付けて、環境全体の豊富な概要を得て、脅威に迅速に対応できます。

このソリューションでは、Azure 関数がテナントにデプロイされ、WithSecure Elements セキュリティ イベントが定期的にポーリングされます。

詳細については、Microsoft の Web サイト https://www.withsecure.com を参照してください。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル WsSecurityEvents_CL (WithSecure イベント)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの WithSecure

クエリのサンプル

すべてのログ

WsSecurityEvents_CL

| sort by TimeGenerated

前提条件

WithSecure Elements API (Azure 関数) (Azure Functions を使用) と統合するには、次があることを確認します。

ベンダーのインストール手順

  1. WithSecure Elements API 資格情報を作成する

ユーザー ガイドに従って Elements API 資格情報を作成します。 資格情報を安全な場所に保存します。

  1. Microsoft Entra アプリケーションを作成する

新しい Microsoft Entra アプリケーションと資格情報を作成します。 指示に従い、ディレクトリ (テナント) IDオブジェクト IDアプリケーション (クライアント) ID、([クライアントの資格情報] フィールドの) クライアント シークレット の値を保存します。 クライアント シークレットは必ず安全な場所に保存してください。

  1. 関数アプリのデプロイ

Note

このコネクタでは、Azure Functions を使用して WithSecure Elements からログをプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) Microsoft Entra クライアント資格情報と WithSecure Elements API クライアント資格情報を Azure Key Vault に安全に保存します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

重要: WithSecure Elements コネクタをデプロイする前に、ワークスペース名 (次からコピーできます)、Microsoft Entra からのデータ (ディレクトリ (テナント) ID、オブジェクト ID、アプリケーション (クライアント) ID、クライアント シークレット)、WithSecure Elements クライアント資格情報をすぐに使用できるようにします。

Workspace Name

コネクタに関連するすべてのリソースをデプロイする

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. お使いの [サブスクリプション][リソース グループ][場所] を選択します。

  3. [ワークスペース ID][Entra クライアント ID][Entra クライアント シークレット][Entra テナント ID][Elements API クライアント ID][Elements API クライアント シークレット] を入力します。 注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。

  4. 省略可能なフィールド [Elements API URL][エンジン][エンジン グループ] を入力することもできます。 特別なケースがない限り、[Elements API URL] の既定値を使用します。 [エンジン][エンジン グループ] は、セキュリティ イベント要求パラメーターにマップされます。特定のエンジンまたはエンジン グループからのイベントのみを使用する場合は、これらのパラメーターを入力します。すべてのセキュリティ イベントを受信する場合は、フィールドを既定値のままにします。

  5. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。

  6. [購入] をクリックしてデプロイします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。