Łącznik Palo Alto Prisma Cloud CSPM (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych Palo Alto Prisma Cloud CSPM zapewnia możliwość pozyskiwania alertów Prisma Cloud CSPM i dzienników inspekcji w usłudze Microsoft sentinel przy użyciu interfejsu API PRisma Cloud CSPM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API Prisma Cloud CSPM.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Wszystkie alerty dotyczące chmury Prisma
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
Wszystkie dzienniki inspekcji prisma Cloud
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Palo Alto Prisma Cloud CSPM (przy użyciu usługi Azure Functions), upewnij się, że:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Palo Alto Prisma Cloud API Credentials: Prisma Cloud API Url, Prisma Cloud Access Key ID, Prisma Cloud Secret Key są wymagane do połączenia interfejsu API chmury Prisma. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat tworzenia klucza dostępu do chmury Prisma i uzyskiwania adresu URL interfejsu API prisma w chmurze
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do łączenia się z interfejsem API REST aplikacji Palo Alto Prisma Cloud w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami PaloAltoPrismaCloud , która jest wdrażana przy użyciu rozwiązania microsoft sentinel.
KROK 1 . Konfiguracja chmury Prisma
Postępuj zgodnie z dokumentacją, aby utworzyć klucz dostępu do chmury Prisma i uzyskać adres URL interfejsu API prisma w chmurze
UWAGA: Użyj roli ADMINISTRATOR SYSTEMU do udzielenia dostępu do interfejsu API chmury Prisma, ponieważ tylko rola ADMINISTRATOR SYSTEMU może wyświetlać dzienniki inspekcji chmury Prisma. Aby uzyskać więcej informacji o uprawnieniach administratora chmury (paloaltonetworks.com), zapoznaj się z tematem Prisma Cloud Administrator Permissions (paloaltonetworks.com).
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych Prisma Cloud należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także poświadczenia interfejsu API chmury Prisma, łatwo dostępne.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.