Compartilhar via


Conector de Proteção de API para o Microsoft Sentinel

Conecta a proteção da API 42Crunch ao Azure Log Analytics através da interface da API REST

Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics apifirewall_log_1_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Proteção de API da 42Crunch

Exemplos de consulta

Solicitações de API que eram limitadas por taxa

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Solicitações de API gerando um erro no servidor

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Solicitações de API que falham na validação do JWT

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Instruções de instalação do fornecedor

Etapa 1 : ler a documentação detalhada

O processo de instalação está documentado detalhadamente no repositório do GitHub Integração com o Microsoft Sentinel. O usuário precisa consultar este repositório para entender melhor a instalação e a depuração da integração.

Etapa 2: recuperar as credenciais de acesso ao espaço de trabalho

A primeira etapa da instalação é recuperar a ID do Espaço de Trabalho e a Chave Primária da plataforma do Microsoft Sentinel. Copie os valores mostrados abaixo e salve-os na configuração da integração do encaminhador de logs da API.

Etapa 3: instalar a proteção 42Crunch e o encaminhador de logs

A próxima etapa é instalar a proteção 42Crunch e o encaminhador de logs para proteger sua API. Ambos os componentes estão disponíveis como contêineres do repositório da 42Crunch. A instalação exata depende do seu ambiente, consulte a documentação de proteção do 42Crunch para obter detalhes completos. Dois cenários comuns de instalação estão descritos abaixo:

Instalação através do Docker Compose

A solução pode ser instalada utilizando um arquivo de composição do Docker .

Instalação através de gráficos do Helm

A solução pode ser instalada utilizando um gráfico do Helm.

Etapa 4: testar a ingestão de dados

Para testar a ingestão de dados, o usuário deve implantar o aplicativo de exemplo httpbin juntamente com a proteção 42Crunch e o encaminhador de logs descritos em detalhes aqui.

4.1 Instalar a amostra

O aplicativo de exemplo pode ser instalado localmente usando um arquivo Docker Compose que instala o servidor de API httpbin, a proteção da API 42Crunch e o encaminhador de log do Microsoft Sentinel. Defina as variáveis do ambiente conforme necessário usando os valores copiados da etapa 2.

4.2 Execução da amostra

Verifique se a proteção da API está conectada à plataforma 42Crunch e, em seguida, exercite a API localmente em localhost na porta 8080 usando curl ou similar. Você deve ver uma mistura de chamadas de API passadas e com falha.

4.3 Verificar a ingestão de dados no Log Analytics

Após aproximadamente 20 minutos, acesse o workspace do Log Analytics na sua instalação do Microsoft Sentinel e encontre a seção Logs personalizados para verificar se existe uma tabela apifirewall_log_1_CL. Utilize as consultas de amostra para examinar os dados.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.