Łącznik Działania alertów armis (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik Działania alertów armis umożliwia pozyskiwanie alertów i działań armis do usługi Microsoft Sentinel za pośrednictwem interfejsu API REST Armis. Aby uzyskać więcej informacji, https://<YourArmisInstance>.armis.com/api/v1/docs
zapoznaj się z dokumentacją interfejsu API. Łącznik zapewnia możliwość uzyskiwania informacji o alertach i działaniach z platformy Armis oraz identyfikowania i określania priorytetów zagrożeń w danym środowisku. Armis używa istniejącej infrastruktury do odnajdywania i identyfikowania urządzeń bez konieczności wdrażania agentów.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Kod aplikacji funkcji platformy Azure | https://aka.ms/sentinel-ArmisAlertsActivitiesAPI-functionapp |
Tabele usługi Log Analytics | Armis_Alerts_CL Armis_Activities_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Armis Corporation |
Przykłady zapytań
Zdarzenia alertów Armis — wszystkie alerty.
Armis_Alerts_CL
| sort by TimeGenerated desc
Zdarzenia działania Armis — wszystkie działania.
Armis_Activities_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację Armis Alerts Activities (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz tajny Armis. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API w witrynie
https://<YourArmisInstance>.armis.com/api/v1/doc
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API Armis w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami, która jest wdrażana w ramach rozwiązania. Aby wyświetlić kod funkcji w usłudze Log Analytics, otwórz blok Dzienniki usługi Log Analytics/Microsoft Sentinel, kliknij pozycję Funkcje i wyszukaj alias ArmisActivities/ArmisAlerts i załaduj kod funkcji. Aktywacja funkcji zwykle trwa od 10 do 15 minut po zainstalowaniu/aktualizacji rozwiązania.
KROK 1. Kroki konfiguracji interfejsu API Armis
Postępuj zgodnie z tymi instrukcjami, aby utworzyć klucz tajny interfejsu API Armis.
- Zaloguj się do wystąpienia usługi Armis
- Przejdź do pozycji Ustawienia —> API Management
- Jeśli klucz tajny nie został jeszcze utworzony, naciśnij przycisk Utwórz, aby utworzyć klucz tajny
- Aby uzyskać dostęp do klucza tajnego, naciśnij przycisk Pokaż
- Klucz tajny można teraz skopiować i używać podczas konfigurowania łącznika Działania alertów armis
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych Działania alertów Armis należy łatwo udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda służy do automatycznego wdrażania łącznika Armis.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź poniższe informacje:
- Nazwa funkcji
- Identyfikator obszaru roboczego
- Klucz obszaru roboczego
- Armis Secret Key
- Armis URL
https://<armis-instance>.armis.com/api/v1/
- Nazwa tabeli alertów Armis
- Nazwa tabeli działań Armis
- Harmonogram Armis
- Unikaj duplikatów (wartość domyślna: true)
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Opcja 2 — ręczne wdrażanie usługi Azure Functions
Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Działania alertów Armis za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).
1. Wdrażanie aplikacji funkcji
UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.
Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.
Wybierz folder najwyższego poziomu z wyodrębnionych plików.
Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.
Podaj następujące informacje po wyświetleniu monitów:
a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.
c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)
d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. ARMISXXXXX).
e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.11
f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.
Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.
2. Konfigurowanie aplikacji funkcji
- W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
- Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
- Dodaj poszczególne z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter):
- Identyfikator obszaru roboczego
- Klucz obszaru roboczego
- Armis Secret Key
- Armis URL
https://<armis-instance>.armis.com/api/v1/
- Nazwa tabeli alertów Armis
- Nazwa tabeli działań Armis
- Harmonogram Armis
- Unikaj duplikatów (wartość domyślna: true)
- logAnalyticsUri (opcjonalnie)
- Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie:
https://<CustomerId>.ods.opinsights.azure.us
.
- Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.