Microsoft Sentinel용 Armis 디바이스(Azure Functions 사용) 커넥터
Armis 디바이스 커넥터는 Armis REST API를 통해 Armis 디바이스를 Microsoft Sentinel에 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서(https://<YourArmisInstance>.armis.com/api/v1/docs)를 참조하세요. 커넥터는 Armis 플랫폼에서 디바이스 정보를 가져오는 기능을 제공합니다. Armis는 에이전트를 배포할 필요 없이 기존 인프라를 사용하여 디바이스를 발견하고 식별합니다. Armis는 또한 기존 IT 및 보안 관리 도구와 통합하여 사용자의 환경에서 관리되거나 관리되지 않는 각각의 디바이스를 식별하고 분류할 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Azure 함수 앱 코드 | https://aka.ms/sentinel-ArmisDevice-functionapp |
| Kusto 함수 별칭 | ArmisDevice |
| Kusto 함수 url | https://aka.ms/sentinel-ArmisDevice-parser |
| Log Analytics 테이블 | Armis_Devices_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Armis Corporation |
쿼리 샘플
Armis 디바이스 이벤트 - 모든 디바이스 작업.
Armis_Devices_CL
| sort by TimeGenerated desc
필수 조건
Armis 디바이스와 통합하려면(Azure Functions 사용) 다음이 필요합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- REST API 자격 증명/권한: Armis 비밀 키가 필요합니다.
https://<YourArmisInstance>.armis.com/api/v1/doc의 API에 대해 자세히 알아보려면 설명서를 참조하세요.
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 Armis API에 연결하여 해당 로그를 Microsoft Sentinel로 풀합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
참고 항목
이 데이터 커넥터는 정상적으로 작동하기 위해 Kusto 함수를 기반으로 하는 파서를 사용합니다. Kusto 함수 별칭인 ArmisDevice를 만들려면 다음 단계를 따릅니다.
1단계 - Armis API 구성 단계
Armis API 비밀 키를 만들려면 다음 지침을 따릅니다.
- Armis 인스턴스에 로그인합니다.
- 설정 -> API Management로 이동합니다.
- 비밀 키가 아직 만들어지지 않았다면 만들기 단추를 눌러 비밀 키를 만듭니다.
- 비밀 키에 액세스하려면 표시 단추를 누릅니다.
- 이제 Armis 디바이스 커넥터 구성 중에 비밀 키를 복사하여 사용할 수 있습니다.
2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수를 배포합니다
중요: Armis 디바이스 데이터 커넥터를 배포하기 전에 Armis API 권한 부여 키뿐만 아니라 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)를 즉시 사용할 수 있도록 준비합니다.
옵션 1 - ARM(Azure Resource Manager) 템플릿
Armis 커넥터를 자동으로 배포하려면 이 방법을 사용합니다.
아래에서 Azure에 배포 단추를 클릭합니다.
선호하는 구독, 리소스 그룹 및 위치를 선택합니다.
아래 정보를 입력합니다.
- 함수 이름
- 작업 영역 ID
- 작업 영역 키
- Armis 비밀 키
- Armis URL
https://<armis-instance>.armis.com/api/v1/ - Armis 디바이스 테이블 이름
- Armis 일정
- 중복 방지(기본값: true)
위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.
구매를 클릭하여 배포합니다.
옵션 2 - Azure Functions 수동 배포
다음 단계별 지침에 따라 Azure Functions(Visual Studio Code를 통한 배포)를 사용하여 Armis Device 데이터 커넥터를 수동으로 배포합니다.
1. 함수 앱 배포
참고: Azure 함수 개발을 하기 위해서는 VS Code를 준비해야 합니다.
Azure 함수 앱 파일을 다운로드합니다. 로컬 개발용 컴퓨터에 보관 파일을 추출합니다.
VS Code를 시작합니다. 메인 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.
추출된 파일에서 최상위 폴더를 선택합니다.
작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: Functions 영역에서 함수 앱에 배포 버튼을 선택합니다. 아직 로그인하지 않은 경우 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: Functions 영역에서 Azure에 로그인을 선택합니다. 이미 로그인되어 있는 경우 다음 단계로 이동합니다.
프롬프트에서 다음 정보를 제공합니다.
a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱을 포함하는 폴더를 찾습니다.
b. 구독 선택: 사용할 구독을 선택합니다.
c. Azure에서 새 함수 앱 만들기를 선택합니다(고급 옵션은 선택하지 않음)
d. 함수 앱에 대해 전역적으로 고유 이름을 입력합니다. URL 경로에 유효한 이름을 입력합니다. 입력한 이름이 Azure Functions에서 고유한지 확인하기 위해 유효성을 검사합니다. (예: ARMISXXXXX).
e. 런타임 선택: Python 3.11 이상을 선택합니다.
f. 새 리소스의 위치 선택 성능 향상 및 비용 절감을 위해 Microsoft Sentinel이 있는 곳과 동일한 영역을 선택합니다.
배포가 시작됩니다. 함수 앱을 만들고 배포 패키지가 적용되면 알림이 표시됩니다.
함수 앱 구성을 위해 Azure Portal로 이동합니다.
2. 함수 앱 구성
- 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
- 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
- 해당 값(대/소문자 구분)을 사용하여 다음 각 애플리케이션 설정을 개별적으로 추가합니다.
- 작업 영역 ID
- 작업 영역 키
- Armis 비밀 키
- Armis URL
https://<armis-instance>.armis.com/api/v1/ - Armis 디바이스 테이블 이름
- Armis 일정
- 중복 방지(기본값: true)
- logAnalyticsUri(선택 사항)
- logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어, 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우
https://<CustomerId>.ods.opinsights.azure.us형식으로 값을 지정합니다.
- 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.