你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 API 保护连接器
通过 REST API 接口将 42Crunch API 保护连接到 Azure Log Analytics
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | apifirewall_log_1_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | 42Crunch API 保护 |
查询示例
速率受限的 API 请求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
生成服务器错误的 API 请求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
未能通过 JWT 验证的 API 请求
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
供应商安装说明
步骤 1:阅读详细文档
GitHub 存储库 Microsoft Sentinel 集成中详细记录了安装过程。 用户应进一步查阅此存储库以了解集成的安装和调试。
步骤 2:检索工作区访问凭据
安装的第一步是从 Sentinel 平台检索工作区 ID 和主密钥。 复制如下所示的值并保存这些值,以便配置 API 日志转发器集成。
步骤 3:安装 42Crunch 保护和日志转发器
下一步是安装 42Crunch 保护和日志转发器来保护 API。 这两个组件都可作为 42Crunch 存储库中的容器使用。 具体安装取决于你的环境,有关完整详细信息,请参阅 42Crunch 保护文档。 下面介绍了两种常见的安装方案:
通过 Docker Compose 安装
可以使用 Docker compose 文件安装解决方案。
通过 Helm 图表安装
可以使用 Helm 图表安装解决方案。
步骤 4:测试数据引入
为了测试数据引入,用户应将示例 httpbin 应用程序与此处详细介绍的 42Crunch 保护和日志转发器一起部署。
4.1 安装示例
可以使用 Docker compose 文件在本地安装示例应用程序,该文件将安装 httpbin API 服务器、42Crunch API 保护和 Microsoft Sentinel 日志转发器。 使用从步骤 2 复制的值根据需要设置环境变量。
4.2 运行示例
验证 API 保护是否连接到 42Crunch 平台,然后在 localhost 上的 8080 端口使用 curl 或类似工具在本地使用 API。 应会看到传递和失败 API 调用的混合。
4.3 验证 Log Analytics 上的数据引入
大约 20 分钟后,访问 Microsoft Sentinel 安装上的 Log Analytics 工作区,并找到“自定义日志”部分,验证是否存在 apifirewall_log_1_CL 表。 使用示例查询来检查数据。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。