Dela via

CommvaultSecurityIQ-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Med den här Azure-funktionen kan Commvault-användare mata in aviseringar/händelser i sin Microsoft Sentinel-instans. Med analysregler kan Microsoft Sentinel automatiskt skapa Microsoft Sentinel-incidenter från inkommande händelser och loggar.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Programinställningar apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri (valfritt)(lägg till andra inställningar som krävs av funktionsappen)Ange uri värdet till: <add uri value>
Kod för Azure-funktionsapp Lägg till%20GitHub%20link%20to%20Function%20App%20code
Log Analytics-tabeller CommvaultSecurityIQ_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Commvault

Exempel på frågor

**Senaste 10 händelserna/aviseringarna **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Förutsättningar

Om du vill integrera med CommvaultSecurityIQ (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Commvault Environment Endpoint URL: Följ dokumentationen och ange det hemliga värdet i KeyVault
  • Commvault QSDK-token: Följ dokumentationen och ange det hemliga värdet i KeyVault

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till en Commvault-instans för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Konfigurationssteg för Commvalut QSDK-token

Följ de här anvisningarna för att skapa en API-token.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT! Innan du distribuerar CommvaultSecurityIQ-dataanslutningen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Commvault-slutpunkts-URL:en och QSDK-token, som är lättillgängliga.

Alternativ 1 – Arm-mall (Azure Resource Manager)

Använd den här metoden för automatisk distribution av Commvault Security IQ-dataanslutningen.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange arbetsyte-ID, arbetsytenyckel, API-användarnamn, API-lösenord, "och/eller andra obligatoriska fält".

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera CommvaultSecurityIQ-dataanslutningen manuellt med Azure Functions.

  1. Skapa en funktionsapp

  2. Från Azure-portalen går du till Funktionsapp.

  3. Klicka på + Lägg till överst.

  4. På fliken Grundläggande ser du till att Runtime-stacken är inställd på "Lägg till obligatoriskt språk".

  5. På fliken Värd kontrollerar du att plantypen är inställd på "Lägg till plantyp".

  6. Lägg till andra nödvändiga konfigurationer.

  7. "Gör andra föredragna konfigurationsändringar" om det behövs och klicka sedan på Skapa.

  8. Importera funktionsappkod

  9. I den nyligen skapade funktionsappen väljer du Funktioner på navigeringsmenyn och klickar på + Lägg till.

  10. Välj Timer-utlösare.

  11. Ange ett unikt funktionsnamn i fältet Ny funktion och lämna standardschemat för cron var 5:e minut och klicka sedan på Skapa funktion.

  12. Klicka på funktionsnamnet och klicka på Koda + Testa i den vänstra rutan.

  13. Kopiera funktionsappkoden och klistra in den i funktionsappredigerarenrun.ps1.

  14. Klicka på Spara.

  15. Konfigurera funktionsappen

  16. På skärmen Funktionsapp klickar du på funktionsappens namn och väljer Konfiguration.

  17. På fliken Programinställningar väljer du + Ny programinställning.

  18. Lägg till var och en av följande programinställningar för x (antal) individuellt, under Namn, med respektive strängvärden (skiftlägeskänsligt) under Värde: apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri (valfritt) (lägg till andra inställningar som krävs av funktionsappen uri ) Ange värdet till: <add uri value>

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Azure Key Vault-referenser.

  • Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.
  1. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.