Соединитель Varonis SaaS для Microsoft Sentinel
Varonis SaaS предоставляет возможность приема оповещений Varonis в Microsoft Sentinel.
Varonis определяет глубинную видимость данных, возможности классификации и автоматическое исправление для доступа к данным. Varonis создает одно приоритетное представление риска для ваших данных, поэтому вы можете упреждающим и систематически устранять риск от внутренних угроз и кибератак.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | VaronisAlerts_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Varonis |
Примеры запросов
Вывод списка всех оповещений Varonis
VaronisAlerts_CL
| sort by TimeGenerated desc
Вывод списка оповещений Varonis с высоким уровнем серьезности
VaronisAlerts_CL
| where Severity_s == "High"
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Varonis SaaS, убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к службе Varonis DatAlert для извлечения оповещений в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Для использования функции Azure и связанных служб используется:
ШАГ 1. Получение учетных данных API конечной точки Varonis DatAlert.
Чтобы создать идентификатор клиента и ключ API, выполните следующие действия.
- Запустите веб-интерфейс Varonis.
- Перейдите к разделу "Конфигурация —> ключи API". Отображается страница "Ключи API".
- Щелкните Создание ключа API. Параметры ключа НОВОГО API отображаются справа.
- Введите имя и описание.
- Нажмите кнопку "Создать ключ".
- Скопируйте секрет ключа API и сохраните его в удобном расположении. Вы не сможете скопировать его еще раз.
Дополнительные сведения см. в документации по Varonis
ШАГ 2. Развертывание соединителя и связанной функции Azure.
Имя рабочей области
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure).
Выберите предпочтительную подписку, группу ресурсов, регион, тип учетной записи хранения.
Введите имя рабочей области Log Analytics, полное доменное имя Varonis, ключ API SaaS Varonis.
Нажмите кнопку "Рецензирование и создание", "Создать".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.