通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 CommvaultSecurityIQ(使用 Azure Functions)连接器

  • 项目

使用此 Azure Functions,Commvault 用户可以将警报/事件引入 Microsoft Sentinel 实例。 借助分析规则,Microsoft Sentinel 可以根据传入的事件和日志自动创建 Microsoft Sentinel 事件。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
应用程序设置 apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri(可选)(添加函数应用所需的任何其他设置)将 uri 值设置为:<add uri value>
Azure 函数应用代码 Add%20GitHub%20link%20to%20Function%20App%20code
Log Analytics 表 CommvaultSecurityIQ_CL
数据收集规则支持 目前不支持
支持的服务 Commvault

查询示例

**最后 10 个事件/警报**

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

先决条件

若要与 CommvaultSecurityIQ(使用 Azure Functions)集成,请确保拥有:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • Commvault 环境终结点 URL:确保按照文档说明,在 KeyVault 中设置机密值
  • Commvault QSDK 令牌:确保按照文档说明,在 KeyVault 中设置机密值

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Commvault 实例,以将其日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

第 1 步 - Commvalut QSDK 令牌的配置步骤

按照这些说明创建 API 令牌。

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:在部署 CommvaultSecurityIQ 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)以及 Commvault 终结点 URL 和 QSDK 令牌

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法可自动部署 Commvault Security IQ 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入“工作区 ID”、“工作区密钥”、“API 用户名”、“API 密码”、“和/或其他必填字段”。

注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

请按照以下分步说明操作,通过 Azure Functions 手动部署 CommvaultSecurityIQ 数据连接器。

  1. 创建函数应用

  2. 在 Azure 门户中导航到“函数应用”

  3. 单击顶部的“+ 添加”。

  4. 在“基本信息”选项卡中,确保“运行时堆栈”设置为“添加所需语言”。

  5. 在“托管”选项卡中,确保“计划类型”设置为“添加计划类型”。

  6. 添加其他所需配置。

  7. 根据需要进行其他首选配置更改,然后单击“创建”。

  8. 导入函数应用代码

  9. 在新建的函数应用中,从导航菜单中选择“函数”,然后单击“+ 添加”。

  10. 选择“计时器触发器”。

  11. 在“新建函数”字段中输入唯一的函数名称,保留默认的 cron 计划(每隔 5 分钟),然后单击“创建函数”。

  12. 单击函数名称,然后在左侧窗格中单击“代码 + 测试”。

  13. 复制函数应用代码并将其粘贴到函数应用 run.ps1 编辑器中。

  14. 单击“ 保存”。

  15. 配置函数应用

  16. 在“函数应用”屏幕中,单击函数应用名称并选择“配置”。

  17. 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。

  18. 在“名称”下分别添加以下每个“x (个)”应用程序设置,并在“值”下添加它们各自的字符串值(区分大小写):apiUsername apipassword apiToken workspaceID workspaceKey uri logAnalyticsUri(可选)(添加函数应用所需的任何其他设置)将 uri 值设置为:<add uri value>

注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。 有关更多详细信息,请参阅 Azure 密钥保管库参考文档

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“保存”。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案