Łącznik usługi API Protection dla usługi Microsoft Sentinel
Łączy ochronę interfejsu API 42Crunch z usługą Azure Log Analytics za pośrednictwem interfejsu API REST
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | apifirewall_log_1_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | 42Crunch API Protection |
Przykłady zapytań
Żądania interfejsu API, które były ograniczone szybkością
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Żądania interfejsu API generujące błąd serwera
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Sprawdzanie poprawności JWT żądań interfejsu API kończy się niepowodzeniem
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Instrukcje instalacji dostawcy
Krok 1. Przeczytaj szczegółową dokumentację
Proces instalacji został szczegółowo udokumentowany w repozytorium GitHub integracji z usługą Microsoft Sentinel. Użytkownik powinien zapoznać się z tym repozytorium, aby lepiej zrozumieć instalację i debugowanie integracji.
Krok 2. Pobieranie poświadczeń dostępu do obszaru roboczego
Pierwszym krokiem instalacji jest pobranie identyfikatora obszaru roboczego i klucza podstawowego z platformy Microsoft Sentinel. Skopiuj poniższe wartości i zapisz je w celu skonfigurowania integracji usługi przesyłania dalej dziennika interfejsu API.
Krok 3. Instalowanie ochrony 42Crunch i usługi przesyłania dalej dzienników
Następnym krokiem jest zainstalowanie ochrony 42Crunch i usługi przesyłania dalej dzienników w celu ochrony interfejsu API. Oba składniki są dostępne jako kontenery z repozytorium 42Crunch. Dokładna instalacja zależy od środowiska. Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentacją ochrony 42Crunch. Poniżej opisano dwa typowe scenariusze instalacji:
Instalacja za pomocą narzędzia Docker Compose
Rozwiązanie można zainstalować przy użyciu pliku docker compose.
Instalacja za pomocą wykresów programu Helm
Rozwiązanie można zainstalować przy użyciu pakietu Helm.
Krok 4. Testowanie pozyskiwania danych
Aby przetestować pozyskiwanie danych, użytkownik powinien wdrożyć przykładową aplikację httpbin wraz z ochroną 42Crunch i usługą przesyłania dalej dzienników opisaną szczegółowo w tym miejscu.
4.1 Instalowanie przykładu
Przykładową aplikację można zainstalować lokalnie przy użyciu pliku docker compose, który instaluje serwer interfejsu API httpbin, ochronę interfejsu API 42Crunch i usługę przesyłania dalej dziennika usługi Microsoft Sentinel. Ustaw zmienne środowiskowe zgodnie z wymaganiami przy użyciu wartości skopiowanych z kroku 2.
4.2 Uruchamianie przykładu
Sprawdź, czy ochrona interfejsu API jest połączona z platformą 42Crunch, a następnie przećwicz interfejs API lokalnie na hoście lokalnym na porcie 8080 przy użyciu narzędzia curl lub podobnego. Powinna zostać wyświetlona kombinacja przekazywania i niepowodzeń wywołań interfejsu API.
4.3 Weryfikowanie pozyskiwania danych w usłudze Log Analytics
Po około 20 minutach uzyskaj dostęp do obszaru roboczego usługi Log Analytics w instalacji usługi Microsoft Sentinel i znajdź sekcję Dzienniki niestandardowe, czy istnieje tabela apifirewall_log_1_CL . Użyj przykładowych zapytań, aby zbadać dane.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.