Conector CommvaultSecurityIQ (usando o Azure Functions) para o Microsoft Sentinel
Esta Função do Azure permite que os usuários do Commvault ingeram alertas/eventos em sua instância do Microsoft Sentinel. Com as Regras Analíticas, o Microsoft Sentinel pode criar automaticamente incidentes do Microsoft Sentinel a partir de eventos e logs recebidos.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Configurações do aplicativo | apiUsername apipassword apiToken ID do espaço de trabalho chave do espaço de trabalho uri logAnalyticsUri (opcional)(adicione quaisquer outras configurações exigidas pelo aplicativo de função)Defina o uri valor para: <add uri value> |
| Código do aplicativo de função do Azure | Adicionar%20GitHub%20link%20to%20Function%20App%20code |
| Tabela(s) do Log Analytics | CommvaultSecurityIQ_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Commvault |
Exemplos de consulta
**Últimos 10 eventos/alertas **
CommvaultSecurityIQ_CL
| where TimeGenerated > ago(24h)
| limit 10
Pré-requisitos
Para integrar com o CommvaultSecurityIQ (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- URL do ponto de extremidade do ambiente Commvault: Certifique-se de seguir a documentação e definir o valor secreto no KeyVault
- Commvault QSDK Token: Certifique-se de seguir a documentação e definir o valor secreto no KeyVault
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar a uma instância do Commvault para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Passos de configuração para o Commvalut QSDK Token
Siga estas instruções para criar um token de API.
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector de dados CommvaultSecurityIQ, tenha o ID do espaço de trabalho e a chave primária do espaço de trabalho (podem ser copiados do seguinte), bem como o URL do ponto de extremidade Commvault e o token QSDK, prontamente disponíveis.
Opção 1 - Modelo do Azure Resource Manager (ARM)
Use este método para a implantação automatizada do conector de dados Commvault Security IQ.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira o ID do espaço de trabalho, a chave do espaço de trabalho, o nome de usuário da API, a senha da API 'e/ou outros campos obrigatórios'.
Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes. 4. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 5. Clique em Comprar para implantar.
Opção 2 - Implantação manual do Azure Functions
Use as instruções passo a passo a seguir para implantar o conector de dados CommvaultSecurityIQ manualmente com o Azure Functions.
Criar uma aplicação de funções
No Portal do Azure, navegue até Aplicativo de Função.
Clique em + Adicionar na parte superior.
Na guia Noções básicas, verifique se a pilha de tempo de execução está definida como 'Adicionar idioma necessário'.
Na guia Hospedagem, verifique se Tipo de plano está definido como 'Adicionar tipo de plano'.
'Adicionar outras configurações necessárias'.
'Faça outras alterações de configuração preferíveis', se necessário, e clique em Criar.
Importar código do aplicativo de função
No aplicativo de função recém-criado, selecione Funções no menu de navegação e clique em + Adicionar.
Selecione Gatilho de temporizador.
Insira um Nome de Função exclusivo no campo Nova Função e deixe a agenda cron padrão a cada 5 minutos e clique em Criar Função.
Clique no nome da função e clique em Código + Teste no painel esquerdo.
Copie o código do aplicativo de função e cole no editor do aplicativo
run.ps1de função.Clique em Guardar.
Configurar o aplicativo de função
Na tela Aplicativo de função, clique no nome do aplicativo de função e selecione Configuração.
Na guia Configurações do aplicativo, selecione + Nova configuração do aplicativo.
Adicione cada uma das seguintes configurações do aplicativo 'x (número de)' individualmente, em Nome, com seus respetivos valores de cadeia de caracteres (diferencia maiúsculas de minúsculas) em Valor: apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (opcional) (adicione quaisquer outras configurações exigidas pelo Function App) Defina o
urivalor como:<add uri value>
Observação: se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Azure Key Vault para obter mais detalhes.
- Use logAnalyticsUri para substituir o ponto de extremidade da API de análise de log para nuvem dedicada. Por exemplo, para nuvem pública, deixe o valor vazio; para o ambiente de nuvem Azure GovUS, especifique o valor no seguinte formato:
https://<CustomerId>.ods.opinsights.azure.us.
- Depois que todas as configurações do aplicativo tiverem sido inseridas, clique em Salvar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.