Поделиться через

Соединитель CommvaultSecurityIQ (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Эта функция Azure позволяет пользователям Commvault получать оповещения и события в экземпляре Microsoft Sentinel. С помощью правил аналитики Microsoft Sentinel может автоматически создавать инциденты Microsoft Sentinel из входящих событий и журналов.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Параметры приложения apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (необязательно)(добавьте любые другие параметры, необходимые приложению-функции)Задайте uri значение следующим образом: <add uri value>
Код приложения-функции Azure Add%20GitHub%20link%20to%20Function%20App%20code
Таблицы Log Analytics CommvaultSecurityIQ_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Commvault

Примеры запросов

**Последние 10 событий и оповещений **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Необходимые компоненты

Чтобы интегрироваться с CommvaultSecurityIQ (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • URL-адрес конечной точки среды Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.
  • Токен QSDK Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к экземпляру Commvault для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке маркера QSDK Commvalut

Следуйте этим инструкциям , чтобы создать маркер API.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных CommvaultSecurityIQ укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также URL-адрес конечной точки Commvault и маркер QSDK.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных Commvault Security IQ.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, "и/или другие обязательные поля".

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Помечайте флажок, помеченный я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных CommvaultSecurityIQ вручную с помощью Функции Azure.

  1. Создайте приложение-функцию

  2. На портале Azure перейдите к приложению-функции.

  3. Нажмите кнопку + Добавить вверху.

  4. На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение "Добавить обязательный язык".

  5. На вкладке "Размещение" убедитесь, что для типа плана задано значение "Добавить тип плана".

  6. "Добавить другие необходимые конфигурации".

  7. При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку "Создать".

  8. Импорт кода приложения-функции

  9. В созданном приложении-функции выберите "Функции " в меню навигации и нажмите кнопку "+ Добавить".

  10. Выберите Триггер таймера.

  11. Введите уникальное имя функции в поле "Новая функция" и оставьте расписание cron по умолчанию каждые 5 минут, а затем нажмите кнопку "Создать функцию".

  12. Щелкните имя функции и нажмите кнопку "Код и тест " на левой панели.

  13. Скопируйте код приложения-функции и вставьте его в редактор приложения-функцииrun.ps1.

  14. Нажмите кнопку Сохранить.

  15. Настройте приложение-функцию

  16. На экране приложения-функции щелкните имя приложения-функции и выберите "Конфигурация".

  17. На вкладке Параметры приложения выберите +Новый параметр приложения.

  18. Добавьте каждый из следующих параметров приложения x (число)" по отдельности в разделе "Имя" с соответствующими строковыми значениями (с учетом регистра) в разделе Value: apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (необязательно) (добавьте любые другие параметры, необходимые приложению-функцией), задайте uri значение: <add uri value>

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Azure Key Vault.

  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us
  1. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.