Conector do Workplace do Facebook (usando o Azure Functions) para o Microsoft Sentinel
O conector de dados do Workplace fornece a capacidade de ingerir eventos comuns do Workplace no Microsoft Sentinel por meio de Webhooks. Os Webhooks permitem que aplicativos de integração personalizados se inscrevam em eventos no Workplace e recebam atualizações em tempo real. Quando ocorre uma alteração no Workplace, uma solicitação HTTPS POST com informações de evento é enviada para uma URL de conector de dados de retorno de chamada. Consulte a documentação do Webhooks para obter mais informações. O conector fornece a capacidade de obter eventos que ajudam a examinar potenciais riscos de segurança, analisar o uso de colaboração da sua equipe, diagnosticar problemas de configuração e muito mais.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | Workplace_Facebook_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Eventos no Local de Trabalho - Todas as Atividades.
Workplace_Facebook_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Workplace a partir do Facebook (utilizando o Azure Functions), certifique-se de que tem:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões Webhooks: WorkplaceAppSecret, WorkplaceVerifyToken, URL de retorno de chamada são necessários para Webhooks de trabalho. Consulte a documentação para saber mais sobre como configurar Webhooks, configurar permissões.
Instruções de instalação do fornecedor
Nota
Esse conector de dados usa o Azure Functions com base no Gatilho HTTP para aguardar solicitações POST com logs para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativo do Azure Functions.
Nota
Esse conector de dados depende de um analisador baseado em uma função Kusto para funcionar conforme o esperado, que é implantado como parte da solução. Para visualizar o código da função no Log Analytics, abra a folha Log Analytics/Microsoft Sentinel Logs, clique em Funções e procure o alias WorkplaceFacebook e carregue o código da função ou clique aqui na segunda linha da consulta, insira o(s) nome(s) do(s) seu(s) dispositivo(s) do Workplace Facebook e quaisquer outros identificadores exclusivos para o fluxo de log. A função geralmente leva de 10 a 15 minutos para ser ativada após a instalação/atualização da solução.
PASSO 1 - Passos de configuração para o local de trabalho
Siga as instruções para configurar Webhooks.
- Faça login no Workplace com credenciais de usuário Admin.
- No painel Administrador, clique em Integrações.
- Na visualização Todas as integrações , clique em Criar integração personalizada
- Insira o nome e a descrição e clique em Criar.
- No painel Detalhes da integração, mostre o segredo e a cópia do aplicativo.
- No painel Permissões de integração, defina todas as permissões de leitura. Consulte a página de permissão para obter detalhes.
- Agora, prossiga para a ETAPA 2 para seguir as etapas (listadas na Opção 1 ou 2) para Implantar a Função do Azure.
- Insira os parâmetros solicitados e também insira um Token de escolha. Copie este Token / Anote-o para a próxima etapa.
- Depois que a implantação do Azure Functions for concluída com êxito, abra a página do Aplicativo de Função, selecione seu aplicativo, vá para Funções, clique em Obter URL da Função e copie isso / Anote-o para a próxima etapa.
- Volte para o Workplace a partir do Facebook. No painel Configurar webhooks em cada Guia, defina URL de retorno de chamada como o mesmo valor que você copiou no ponto 9 acima e Verificar token como o mesmo valor copiado no ponto 8 acima, que foi obtido durante a ETAPA 2 da implantação do Azure Functions.
- Clique em Guardar.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e o Azure Functions associado
IMPORTANTE: Antes de implantar o conector de dados do Workplace, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (pode ser copiada do seguinte).
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.