Palo Alto Prisma Cloud CSPM -connector (met behulp van Azure Functions) voor Microsoft Sentinel
De Gegevensconnector Palo Alto Prisma Cloud CSPM biedt de mogelijkheid om Prisma Cloud CSPM-waarschuwingen en auditlogboeken op te nemen in Microsoft Sentinel met behulp van de Prisma Cloud CSPM-API. Raadpleeg de documentatie van Prisma Cloud CSPM API voor meer informatie.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Alle Prisma Cloud-waarschuwingen
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Alle Prisma Cloud-auditlogboeken
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met Palo Alto Prisma Cloud CSPM (met behulp van Azure Functions), moet u ervoor zorgen dat u het volgende hebt:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Palo Alto Prisma Cloud API Credentials: Prisma Cloud API URL, Prisma Cloud Access Key ID, Prisma Cloud Secret Key zijn vereist voor Prisma Cloud API-verbinding. Zie de documentatie voor meer informatie over het maken van Prisma Cloud Access Key en het verkrijgen van Prisma Cloud API-URL
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Palo Alto Prisma Cloud REST API om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht PaloAltoPrismaCloud , dat is geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1 : Configuratie van prismacloud
Volg de documentatie om Prisma Cloud Access Key te maken en prisma cloud-API-URL te verkrijgen
OPMERKING: gebruik de rol SYSTEM ADMIN voor het verlenen van toegang tot Prisma Cloud API, omdat alleen de rol SYSTEM ADMIN is toegestaan om Prisma Cloud Audit Logs te bekijken. Raadpleeg Prisma Cloud Beheer istrator Permissions (paloaltonetworks.com) voor meer informatie over beheerdersmachtigingen.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Prisma Cloud-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en de primaire sleutel van de werkruimte (kunnen worden gekopieerd uit de volgende), evenals prisma cloud-API-referenties, die direct beschikbaar zijn.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.