Поделиться через


Соединитель защиты API для Microsoft Sentinel

Подключает защиту API 42Crunch к Azure Log Analytics с помощью интерфейса REST API

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics apifirewall_log_1_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Защита API 42Crunch

Примеры запросов

Запросы API, которые были ограничены скоростью

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d == 429

Запросы API, создающие ошибку сервера

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Status_d >= 500 and Status_d <= 599

Запросы API завершаются ошибкой проверки JWT

apifirewall_log_1_CL

| where TimeGenerated >= ago(30d)

| where Error_Message_s contains "missing [\"x-access-token\"]"

Инструкции по установке поставщика

Шаг 1. Чтение подробной документации

Процесс установки подробно описан в интеграции с репозиторием GitHub Microsoft Sentinel. Пользователь должен ознакомиться с этим репозиторием для дальнейшего понимания установки и отладки интеграции.

Шаг 2. Получение учетных данных доступа к рабочей области

Первым шагом установки является получение идентификатора рабочей области и первичного ключа из платформы Microsoft Sentinel. Скопируйте приведенные ниже значения и сохраните их для настройки интеграции пересылки журналов API.

Шаг 3. Установка защиты 42Crunch и средства пересылки журналов

Следующим шагом является установка защиты 42Crunch и средства пересылки журналов для защиты API. Оба компонента доступны в качестве контейнеров из репозитория 42Crunch. Точную установку зависит от среды, см . в документации по защите 42Crunch, чтобы получить подробные сведения. Ниже описаны два распространенных сценария установки:

Установка с помощью Docker Compose

Решение можно установить с помощью файла создания Docker.

Установка с помощью диаграмм Helm

Решение можно установить с помощью диаграммы Helm.

Шаг 4. Проверка приема данных

Чтобы проверить прием данных, пользователь должен развернуть пример приложения httpbin вместе с защитой 42Crunch и обработчиком пересылки журналов, описанным здесь.

4.1. Установка примера

Пример приложения можно установить локально с помощью файла создания Docker, который устанавливает сервер API httpbin, защиту API 42Crunch и средство пересылки журналов Microsoft Sentinel. Задайте переменные среды по мере необходимости с помощью значений, скопированных на шаге 2.

4.2 Запуск примера

Убедитесь, что защита API подключена к платформе 42Crunch, а затем выполните API локально в localhost через порт 8080 с помощью curl или аналогичного. Вы увидите смесь передачи и неудачных вызовов API.

4.3 Проверка приема данных в Log Analytics

Через 20 минут перейдите к рабочей области Log Analytics в установке Microsoft Sentinel и найдите раздел "Пользовательские журналы " и убедитесь, что таблица apifirewall_log_1_CL существует. Используйте примеры запросов для проверки данных.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.