TheHive Project — Łącznik TheHive (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Łącznik danych TheHive zapewnia możliwość pozyskiwania typowych zdarzeń TheHive w usłudze Microsoft Sentinel za pośrednictwem elementów webhook. Funkcja TheHive może powiadamiać zewnętrzny system zdarzeń modyfikacji (tworzenie zgłoszenia, aktualizacja alertu, przypisywanie zadań) w czasie rzeczywistym. Gdy w elemecie TheHive wystąpi zmiana, żądanie HTTPS POST z informacjami o zdarzeniach jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
Atrybut łącznika | opis |
---|---|
Tabele usługi Log Analytics | TheHive_CL |
Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Zdarzenia theHive — wszystkie działania.
TheHive_CL
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację TheHive Project — TheHive (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia elementów webhook: TheHiveBearerToken, adres URL wywołania zwrotnego jest wymagany dla działających elementów webhook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat konfigurowania elementów webhook.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych używa usługi Azure Functions na podstawie wyzwalacza HTTP do oczekiwania żądań POST z dziennikami w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami TheHive , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
KROK 1 . Kroki konfiguracji dla elementu TheHive
Postępuj zgodnie z instrukcjami , aby skonfigurować elementy webhook.
- Metoda uwierzytelniania to Bearer Auth.
- Wygeneruj token TheHiveBearerToken zgodnie z zasadami haseł.
- Skonfiguruj powiadomienia elementu webhook w pliku application.conf , w tym parametr TheHiveBearerToken .
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych TheHive należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.