Udostępnij za pośrednictwem


Łącznik Działania alertów armis (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik Działania alertów armis umożliwia pozyskiwanie alertów i działań armis do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST Armis. Aby uzyskać więcej informacji, https://<YourArmisInstance>.armis.com/api/v1/docs zapoznaj się z dokumentacją interfejsu API. Łącznik zapewnia możliwość uzyskiwania informacji o alertach i działaniach z platformy Armis oraz identyfikowania i określania priorytetów zagrożeń w danym środowisku. Armis używa istniejącej infrastruktury do odnajdywania i identyfikowania urządzeń bez konieczności wdrażania agentów.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Kod aplikacji funkcji platformy Azure https://aka.ms/sentinel-ArmisAlertsActivitiesAPI-functionapp
Tabele usługi Log Analytics Armis_Alerts_CL
Armis_Activities_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Armis Corporation

Przykłady zapytań

Zdarzenia alertów Armis — wszystkie alerty.

Armis_Alerts_CL

| sort by TimeGenerated desc

Zdarzenia działania Armis — wszystkie działania.

Armis_Activities_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację Armis Alerts Activities (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz tajny Armis. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API w witrynie https://<YourArmisInstance>.armis.com/api/v1/doc

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API Armis w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias ArmisActivities/ArmisAlerts i załaduj kod funkcji. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.

KROK 1. Kroki konfiguracji interfejsu API Armis

Postępuj zgodnie z tymi instrukcjami, aby utworzyć klucz tajny interfejsu API Armis.

  1. Zaloguj się do wystąpienia usługi Armis
  2. Przejdź do pozycji Ustawienia —> API Management
  3. Jeśli klucz tajny nie został jeszcze utworzony, naciśnij przycisk Utwórz, aby utworzyć klucz tajny
  4. Aby uzyskać dostęp do klucza tajnego, naciśnij przycisk Pokaż
  5. Klucz tajny można teraz skopiować i używać podczas konfigurowania łącznika Działania alertów armis

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych Działania alertów Armis należy łatwo udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika Armis.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure Wdrażanie na platformie Azure dla instytucji rządowych

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje:

    • Nazwa funkcji
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • Armis Secret Key
    • Armis URL https://<armis-instance>.armis.com/api/v1/
    • Nazwa tabeli alertów Armis
    • Nazwa tabeli działań Armis
    • Harmonogram Armis
    • Unikaj duplikatów (wartość domyślna: true)
  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Działania alertów Armis za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

  5. Podaj następujące informacje po wyświetleniu monitów:

    a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. ARMISXXXXX).

    e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.11

    f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj poszczególne z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter):
    • Identyfikator obszaru roboczego
    • Klucz obszaru roboczego
    • Armis Secret Key
    • Armis URL https://<armis-instance>.armis.com/api/v1/
    • Nazwa tabeli alertów Armis
    • Nazwa tabeli działań Armis
    • Harmonogram Armis
    • Unikaj duplikatów (wartość domyślna: true)
    • logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.