Udostępnij za pośrednictwem


TheHive Project — Łącznik TheHive (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Łącznik danych TheHive zapewnia możliwość pozyskiwania typowych zdarzeń TheHive w usłudze Microsoft Sentinel za pośrednictwem elementów webhook. Funkcja TheHive może powiadamiać zewnętrzny system zdarzeń modyfikacji (tworzenie zgłoszenia, aktualizacja alertu, przypisywanie zadań) w czasie rzeczywistym. Gdy w elemecie TheHive wystąpi zmiana, żądanie HTTPS POST z informacjami o zdarzeniach jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics TheHive_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Zdarzenia theHive — wszystkie działania.

TheHive_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację TheHive Project — TheHive (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych używa usługi Azure Functions na podstawie wyzwalacza HTTP do oczekiwania żądań POST z dziennikami w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami TheHive , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

KROK 1 . Kroki konfiguracji dla elementu TheHive

Postępuj zgodnie z instrukcjami , aby skonfigurować elementy webhook.

  1. Metoda uwierzytelniania to Bearer Auth.
  2. Wygeneruj token TheHiveBearerToken zgodnie z zasadami haseł.
  3. Skonfiguruj powiadomienia elementu webhook w pliku application.conf , w tym parametr TheHiveBearerToken .

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych TheHive należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.