你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 CyberArkEPM(使用 Azure Functions)连接器

CyberArk Endpoint Privilege Manager 数据连接器提供通过 REST API 将 CyberArk EPM 服务的安全事件日志和其他事件检索到 Microsoft Sentinel 的功能。 该连接器提供获取事件的功能,这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
应用程序设置 CyberArkEPMUsername
CyberArkEPMPassword
CyberArkEPMServerURL
WorkspaceID
WorkspaceKey
logAnalyticsUri(可选)
Azure 函数应用代码 https://aka.ms/sentinel-CyberArkEPMAPI-functionapp
Log Analytics 表 CyberArkEPM_CL
数据收集规则支持 目前不支持
支持的服务 CyberArk 支持

查询示例

CyberArk EPM 事件 - 所有活动。

CyberArkEPM

| sort by TimeGenerated desc

先决条件

若要与 CyberArkEPM(使用 Azure Functions)集成,请确保满足以下条件:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • REST API 凭据/权限:需要提供 CyberArkEPMUsername、CyberArkEPMPassword 和 CyberArkEPMServerURL 才能发出 API 调用。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Azure Blob 存储 API,以将日志拉取到 Microsoft Sentinel。 这可能会导致在引入数据和在 Azure Blob 存储中存储数据时产生额外成本。 有关详细信息,请查看 Azure Functions 定价页Azure Blob 存储定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

注意

此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 CyberArkEPM 工作。

步骤 1 - CyberArk EPM API 的配置步骤

按照说明获取凭据。

  1. 使用 CyberArk EPM 帐户的用户名和密码。

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:在部署 CyberArk EPM 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署 CyberArk EPM 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

注意:在同一资源组内,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入“CyberArkEPMUsername”、“CyberArkEPMPassword”和“CyberArkEPMServerURL”,然后进行部署。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明,使用 Azure Functions 手动部署 CyberArk EPM 数据连接器(通过 Visual Studio Code 进行部署)。

1. 部署函数应用

注意:需要为 Azure 函数开发准备 VS 代码

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。

  5. 根据提示提供以下信息:

    a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择订阅:选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)

    d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 CyberArkXXXXX)。

    e. 选择运行时:选择 Python 3.8。

    f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域

  6. 将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。

  7. 转到 Azure 门户,获取函数应用配置。

2. 配置函数应用

  1. 在函数应用中选择“函数应用名称”,然后选择“配置”。
  2. 在“应用程序设置”选项卡中,选择“新建应用程序设置”。
  3. 分别添加以下每个应用程序设置及其各自的字符串值(区分大小写):CyberArkEPMUsername CyberArkEPMPassword CyberArkEPMServerURL WorkspaceID WorkspaceKey logAnalyticsUri(可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us。 4. 输入所有应用程序设置后,单击“保存”。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案