你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 的 WithSecure Elements API (Azure Function) (using Azure Functions) 连接器
WithSecure Elements 是基于云的统一网络安全平台,旨在降低风险、复杂性和提高效率。
提升从终结点到云应用程序的安全性。 自行抵御从有针对性的攻击到零日勒索软件在内的各种网络威胁。
WithSecure Elements 结合了强大的预测、预防和响应安全功能 - 所有相关操作都可以通过单一安全中心进行管理和监视。 我们的模块化结构和灵活的定价模型让你可以自由演进解决方案。 凭借我们的专业知识和见解,你始终可以获得强大的支援 - 你永远无需独自抵御风险。
通过 Microsoft Sentinel 集成,可以将来自 WithSecure Elements 解决方案的安全事件数据与来自其他源的数据关联起来,从而获得整个环境的概况并更快地针对威胁做出反应。
通过此解决方案,可将 Azure Function 部署到租户中,并定期轮询 WithSecure Elements 安全事件。
有关详细信息,请访问我们的网站:https://www.withsecure.com。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | WsSecurityEvents_CL(WithSecure 事件) |
数据收集规则支持 | 工作区转换 DCR |
支持的服务 | WithSecure |
查询示例
所有日志
WsSecurityEvents_CL
| sort by TimeGenerated
先决条件
若要与 WithSecure Elements API (Azure Function) (using Azure Functions) 集成,请确保满足以下条件:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- WithSecure Elements API 客户端凭据:需要客户端凭据。 若要了解详细信息,请参阅文档。
供应商安装说明
- 创建 WithSecure Elements API 凭据
按照用户指南创建 Elements API 凭据。 将凭据保存在安全位置。
- 创建 Microsoft Entra 应用程序
创建新的 Microsoft Entra 应用程序和凭据。 按照说明操作,并存储“目录(租户) ID”、“对象 ID”、“应用程序(客户端) ID”和“客户端机密”的值(从客户端凭据字段)。 请记得将客户端机密存储在安全位置。
- 部署函数应用
注意
此连接器使用 Azure Functions 从 WithSecure Elements 拉取日志。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将 Microsoft Entra 客户端凭据和 WithSecure Elements API 客户端凭据安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
重要说明:在部署 WithSecure Elements 连接器之前,请准备好工作区名称(可从下方复制)、Microsoft Entra 中的数据(“目录(租户) ID”、“对象 ID”、“应用程序(客户端) ID”和“客户端机密”),以及 WithSecure Elements 客户端凭据。
工作区名称
部署与连接器相关的所有资源
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入“工作区 ID”、“Entra 客户端 ID”、“Entra 客户端机密”、“Entra 租户 ID”、“Elements API 客户端 ID”、“Elements API 客户端机密”的值。 注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。还可以填写可选字段:“Elements API URL”、“引擎”、“引擎组”。 除非存在特殊情况,否则请使用“Elements API URL”的默认值。 “引擎”和“引擎组”映射到安全事件请求参数,如果你只对来自特定引擎或引擎组的事件感兴趣,请填写这些参数;如果你想要接收所有安全事件,请为这些字段保留默认值。
选中“我同意上述条款和条件”复选框。
单击“购买”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。