Udostępnij za pośrednictwem


Łącznik CommvaultSecurityIQ (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Ta funkcja platformy Azure umożliwia użytkownikom commvault pozyskiwanie alertów/zdarzeń do wystąpienia usługi Microsoft Sentinel. Dzięki regułom analitycznym usługa Microsoft Sentinel może automatycznie tworzyć zdarzenia usługi Microsoft Sentinel na podstawie przychodzących zdarzeń i dzienników.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Ustawienia aplikacji apiUsername
apipassword
apiToken
identyfikator obszaru roboczego
workspaceKey
uri
logAnalyticsUri (opcjonalnie)(dodaj inne ustawienia wymagane przez aplikację funkcji)Ustaw uri wartość na: <add uri value>
Kod aplikacji funkcji platformy Azure Dodaj%20GitHub%20link%20to%20Function%20App%20code
Tabele usługi Log Analytics CommvaultSecurityIQ_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Commvault

Przykłady zapytań

**Ostatnie 10 zdarzeń/alertów **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Wymagania wstępne

Aby zintegrować z aplikacją CommvaultSecurityIQ (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Adres URL punktu końcowego środowiska Commvault: upewnij się, że postępuj zgodnie z dokumentacją i ustaw wartość wpisu tajnego w usłudze KeyVault
  • Commvault QSDK Token: pamiętaj, aby postępować zgodnie z dokumentacją i ustawić wartość wpisu tajnego w usłudze KeyVault

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązania połączenia z wystąpieniem commvault w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji tokenu QSDK commvalut

Postępuj zgodnie z tymi instrukcjami , aby utworzyć token interfejsu API.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych CommvaultSecurityIQ należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także adres URL punktu końcowego commvault i token QSDK, łatwo dostępny.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika danych Commvault Security IQ.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API i/lub inne wymagane pola.

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych CommvaultSecurityIQ za pomocą usługi Azure Functions.

  1. Tworzenie aplikacji funkcji

  2. W witrynie Azure Portal przejdź do pozycji Aplikacja funkcji.

  3. Kliknij pozycję + Dodaj u góry.

  4. Na karcie Podstawy upewnij się, że stos środowiska uruchomieniowego jest ustawiony na wartość "Dodaj wymagany język".

  5. Na karcie Hosting upewnij się, że typ planu jest ustawiony na "Dodaj typ planu".

  6. "Dodaj inne wymagane konfiguracje".

  7. "Wprowadź inne preferowane zmiany konfiguracji", w razie potrzeby, a następnie kliknij przycisk Utwórz.

  8. Importowanie kodu aplikacji funkcji

  9. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje z menu nawigacji i kliknij pozycję + Dodaj.

  10. Wybierz pozycję Wyzwalacz czasomierza.

  11. Wprowadź unikatową nazwę funkcji w polu Nowa funkcja i pozostaw domyślny harmonogram cron co 5 minut, a następnie kliknij pozycję Utwórz funkcję.

  12. Kliknij nazwę funkcji i kliknij pozycję Kod i testowanie w okienku po lewej stronie.

  13. Skopiuj kod aplikacji funkcji i wklej go do edytora aplikacji run.ps1 funkcji.

  14. Kliknij przycisk Zapisz.

  15. Konfigurowanie aplikacji funkcji

  16. Na ekranie Aplikacja funkcji kliknij nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  17. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  18. Dodaj poszczególne ustawienia aplikacji "x (liczba)" indywidualnie w obszarze Nazwa z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter) w obszarze Wartość: apiUsername apipassword apipassword apiToken workspaceID workspaceID identyfikator URI logAnalyticsUri (opcjonalnie) (dodaj inne ustawienia wymagane przez aplikację funkcji) Ustaw uri wartość na: <add uri value>

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Azure Key Vault.

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.