CommvaultSecurityIQ-connector (met behulp van Azure Functions) voor Microsoft Sentinel
Met deze Azure-functie kunnen Commvault-gebruikers waarschuwingen/gebeurtenissen opnemen in hun Microsoft Sentinel-exemplaar. Met analyseregels kan Microsoft Sentinel automatisch Microsoft Sentinel-incidenten maken op basis van binnenkomende gebeurtenissen en logboeken.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Toepassingsinstellingen | apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (optioneel)(voeg andere instellingen toe die vereist zijn voor de functie-app)Stel de uri waarde in op: <add uri value> |
| Code van Azure-functie-app | Toevoegen%20GitHub%20link%20to%20Function%20App%20code |
| Log Analytics-tabellen | CommvaultSecurityIQ_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Commvault |
Voorbeelden van query's
**Laatste 10 gebeurtenissen/waarschuwingen **
CommvaultSecurityIQ_CL
| where TimeGenerated > ago(24h)
| limit 10
Vereisten
Als u wilt integreren met CommvaultSecurityIQ (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Eindpunt-URL van commvault-omgeving: volg de documentatie en stel de geheime waarde in KeyVault in
- Commvault QSDK-token: volg de documentatie en stel de geheime waarde in KeyVault in
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met een Commvault-exemplaar om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
STAP 1: configuratiestappen voor het Commvalut QSDK-token
Volg deze instructies om een API-token te maken.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de CommvaultSecurityIQ-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), evenals de Commvault-eindpunt-URL en het QSDK-token, dat direct beschikbaar is.
Optie 1: ARM-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Commvault Security IQ-gegevensconnector.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, API-gebruikersnaam, API-wachtwoord, 'en/of andere vereiste velden' in.
Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie. 4. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 5. Klik op Kopen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de CommvaultSecurityIQ-gegevensconnector handmatig te implementeren met Azure Functions.
Een functie-app maken
Navigeer vanuit Azure Portal naar de functie-app.
Klik bovenaan op + Toevoegen .
Controleer op het tabblad Basisbeginselen of runtimestack is ingesteld op Vereiste taal toevoegen.
Zorg ervoor dat op het tabblad Hosting het type Plan is ingesteld op 'Plantype toevoegen'.
'Andere vereiste configuraties toevoegen'.
'Breng indien nodig andere configuratiewijzigingen bij voorkeur aan'. Klik vervolgens op Maken.
Functie-app-code importeren
Selecteer in de zojuist gemaakte functie-app Functies in het navigatiemenu en klik op + Toevoegen.
Selecteer Timertrigger.
Voer een unieke functienaam in het veld Nieuwe functie in en laat de standaard cron-planning van elke 5 minuten staan en klik vervolgens op Functie maken.
Klik op de functienaam en klik op Code + Testen in het linkerdeelvenster.
Kopieer de code van de functie-app en plak deze in de functie-app-editor
run.ps1.Klik op Opslaan.
De functie-app configureren
Klik in het scherm Functie-app op de naam van de functie-app en selecteer Configuratie.
Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.
Voeg elk van de volgende 'x (aantal)' toepassingsinstellingen afzonderlijk toe, onder Naam, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig) onder Waarde: apiUsername apiPassword apiToken workspaceID workspaceKey uri logAnalyticsUri (optioneel) (voeg eventuele andere instellingen toe die nodig zijn voor de functie-app) Stel de
uriwaarde in op:<add uri value>
Opmerking: Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Azure Key Vault-verwijzingen voor meer informatie.
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.