適用於 Microsoft Sentinel 的 AbnormalSecurity (使用 Azure Functions) 連接器
異常安全性資料連接器提供使用異常安全性 Rest API 將威脅和案例記錄內嵌到 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 應用程式設定 | SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (選擇性)(新增函數應用程式所需的任何其他設定) 將 uri 值設為:<add uri value> |
| Azure 函數應用程式程式碼 | https://aka.ms/sentinel-abnormalsecurity-functionapp |
| 記錄分析資料表 | ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | 異常安全性 |
查詢範例
所有異常安全性威脅記錄
ABNORMAL_THREAT_MESSAGES_CL
| sort by TimeGenerated desc
所有異常安全性案例記錄
ABNORMAL_CASES_CL
| sort by TimeGenerated desc
必要條件
若要與 AbnormalSecurity 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- 異常安全性 API 權杖:需要異常安全性 API 權杖。 請參閱文件以深入了解異常安全性 API (英文)。 注意:需要異常安全性帳戶
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到異常安全性 REST API,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
步驟 1 - 異常安全性 API 的設定步驟
請遵循異常安全性所提供的這些指示 (英文) 來設定 REST API 整合。 注意:需要異常安全性帳戶
步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式
重要事項: 部署異常安全性資料連接器之前,請具有可供使用的工作區識別碼和工作區主索引鍵 (可從下列位置複製),以及異常安全性 API 授權權杖。
選項 1 - Azure Resource Manager (ARM) 範本
此方法會使用 ARM 範本來提供異常安全性連接器的自動化部署。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入 Microsoft Sentinel 工作區識別碼、Microsoft Sentinel 共用金鑰和異常安全性 REST API 金鑰。
- 預設時間間隔設為提取最後五 (5) 分鐘的資料。 如果需要修改時間間隔,建議您據以變更函數應用程式定時器觸發程式 (在function.json 檔案中,部署後) 以防止重疊的資料擷取。
- 選取標示著 [我同意上述條款及條件] 的核取方塊。
- 按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,利用 Azure Functions (透過 Visual Studio Code 部署) 手動部署異常安全性資料連接器。
1.部署函數應用程式
注意:您需要針對 Azure 函式開發準備 VS 程式碼 (部分機器翻譯)。
下載 Azure 函數應用程式 (英文) 檔案。 將封存擷取至本機開發電腦。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層的資料夾。
選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中,選擇 [部署至函數應用程式] 按鈕。 如果您尚未登入,請選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中選擇 [登入 Azure] 如果已登入,請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取訂用帳戶:選擇要使用的訂用帳戶。
c. 選取 [在 Azure 中建立新的函數應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如 AbnormalSecurityXX)。
e. 選取運行時間: 選擇 Python 3.11。
f. 選取新資源的位置。 為了獲得更好的效能和更低的成本,請選擇 Microsoft Sentinel 所在的相同區域。
部署即將開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
前往 Azure 入口網站來進行函數應用程式設定。
2.設定函數應用程式
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
- 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
- 個別新增下列每個應用程式設定,其各自的字串值 (區分大小寫):SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (選擇性) (新增函數應用程式所需的任何其他設定) 將
uri值設為:<add uri value>
若針對任一上述值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述來取代字串值。 如需進一步的詳細資料,請參閱 Azure Key Vault 參考文件 (部分機器翻譯)。
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將該值留空;對於 Azure GovUS 雲端環境,請依下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us.
- 輸入所有應用程式設定之後,請按一下 [儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。