你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Holm Security 资产数据(使用 Azure Functions)连接器

该连接器提供将数据从 Holm 安全中心轮询到 Microsoft Sentinel 的功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 net_assets_CL
web_assets_CL
数据收集规则支持 目前不支持
支持的服务 Holm Security

查询示例

所有低净资产

net_assets_CL
         
| where severity_s  == 'low'

所有低 Web 资产

web_assets_CL
         
| where severity_s  == 'low'

先决条件

要与 Holm Security 资产数据(使用 Azure Functions)集成,请确保具有:

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Holm 安全资产,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

第 1 步 - Holm 安全 API 的配置步骤

按照这些说明创建 API 身份验证令牌。

第 2 步 - 使用以下部署选项部署连接器和关联的 Azure 函数

重要信息:在部署 Holm 安全连接器之前,请准备好工作区 ID 和工作区主密钥(可从以下内容复制)以及 Holm 安全 API 授权令牌。

Azure 资源管理器 (ARM) 模板部署

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Holm 安全连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入“工作区 ID”、“工作区密钥”、“API 用户名”、“API 密码”、“和/或其他必填字段”。

注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案