Udostępnij za pośrednictwem


Łącznik usługi API Protection dla usługi Microsoft Sentinel

Łączy ochronę interfejsu API 42Crunch z usługą Azure Log Analytics za pośrednictwem interfejsu API REST

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics apifirewall_log_1_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez 42Crunch API Protection

Przykłady zapytań

Żądania interfejsu API, które były ograniczone szybkością

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Żądania interfejsu API generujące błąd serwera

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Sprawdzanie poprawności JWT żądań interfejsu API kończy się niepowodzeniem

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Instrukcje instalacji dostawcy

Krok 1. Przeczytaj szczegółową dokumentację

Proces instalacji został szczegółowo udokumentowany w repozytorium GitHub integracji z usługą Microsoft Sentinel. Użytkownik powinien zapoznać się z tym repozytorium, aby lepiej zrozumieć instalację i debugowanie integracji.

Krok 2. Pobieranie poświadczeń dostępu do obszaru roboczego

Pierwszym krokiem instalacji jest pobranie identyfikatora obszaru roboczego i klucza podstawowego z platformy Microsoft Sentinel. Skopiuj poniższe wartości i zapisz je w celu skonfigurowania integracji usługi przesyłania dalej dziennika interfejsu API.

Krok 3. Instalowanie ochrony 42Crunch i usługi przesyłania dalej dzienników

Następnym krokiem jest zainstalowanie ochrony 42Crunch i usługi przesyłania dalej dzienników w celu ochrony interfejsu API. Oba składniki są dostępne jako kontenery z repozytorium 42Crunch. Dokładna instalacja zależy od środowiska. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją ochrony 42Crunch. Poniżej opisano dwa typowe scenariusze instalacji:

Instalacja za pomocą narzędzia Docker Compose

Rozwiązanie można zainstalować przy użyciu pliku docker compose.

Instalacja za pomocą wykresów programu Helm

Rozwiązanie można zainstalować przy użyciu pakietu Helm.

Krok 4. Testowanie pozyskiwania danych

Aby przetestować pozyskiwanie danych, użytkownik powinien wdrożyć przykładową aplikację httpbin wraz z ochroną 42Crunch i usługą przesyłania dalej dzienników opisaną szczegółowo w tym miejscu.

4.1 Instalowanie przykładu

Przykładową aplikację można zainstalować lokalnie przy użyciu pliku docker compose, który instaluje serwer interfejsu API httpbin, ochronę interfejsu API 42Crunch i usługę przesyłania dalej dziennika usługi Microsoft Sentinel. Ustaw zmienne środowiskowe zgodnie z wymaganiami przy użyciu wartości skopiowanych z kroku 2.

4.2 Uruchamianie przykładu

Sprawdź, czy ochrona interfejsu API jest połączona z platformą 42Crunch, a następnie przećwicz interfejs API lokalnie na hoście lokalnym na porcie 8080 przy użyciu narzędzia curl lub podobnego. Powinna zostać wyświetlona kombinacja przekazywania i niepowodzeń wywołań interfejsu API.

4.3 Weryfikowanie pozyskiwania danych w usłudze Log Analytics

Po około 20 minutach uzyskaj dostęp do obszaru roboczego usługi Log Analytics w instalacji usługi Microsoft Sentinel i znajdź sekcję Dzienniki niestandardowe, czy istnieje tabela apifirewall_log_1_CL . Użyj przykładowych zapytań, aby zbadać dane.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.