Anslutningsprogram för Holm Security Asset Data (med Azure Functions) för Microsoft Sentinel
Anslutningsappen ger möjlighet att avsöka data från Holm Security Center till Microsoft Sentinel.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | net_assets_CL web_assets_CL |
Stöd för regler för datainsamling | Stöds för närvarande inte |
Stöds av | Holm Security |
Exempel på frågor
Alla låga nettotillgångar
net_assets_CL
| where severity_s == 'low'
Alla låga webbtillgångar
web_assets_CL
| where severity_s == 'low'
Förutsättningar
Om du vill integrera med Holm Security Asset Data (med Hjälp av Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Holm API för säkerhet Token: Holm API för säkerhet Token krävs. Holm API för säkerhet token
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till en Holm Security Assets för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
STEG 1 – Konfigurationssteg för Holm-API för säkerhet
Följ de här anvisningarna för att skapa en API-autentiseringstoken.
STEG 2 – Använd distributionsalternativet nedan för att distribuera anslutningsappen och den associerade Azure-funktionen
VIKTIGT! Innan du distribuerar Holm Security-anslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Holm API för säkerhet-auktoriseringstoken, som är lättillgänglig.
Distribution av Azure Resource Manager-mallar (ARM)
Alternativ 1 – Arm-mall (Azure Resource Manager)
Använd den här metoden för automatisk distribution av Holm Security-anslutningsappen.
Klicka på knappen Distribuera till Azure nedan.
Välj önskad prenumeration, resursgrupp och plats.
Ange arbetsyte-ID, arbetsytenyckel, API-användarnamn, API-lösenord, "och/eller andra obligatoriska fält".
Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du
@Microsoft.KeyVault(SecretUri={Security Identifier})
schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.