共用方式為

適用於 Microsoft Sentinel 的 Vectra XDR (使用 Azure Functions) 連接器

  • 發行項

Vectra XDR 連接器可讓您透過 Vectra REST API 將 Vectra 偵測、稽核、實體評分、鎖定和健康情況數據內嵌至 Microsoft Sentinel。 如需詳細資訊, https://support.vectra.ai/s/article/KB-VS-1666 請參閱 API 檔。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連線 or 屬性

連線 or 屬性 描述
Azure 函式應用程式程式代碼 https://aka.ms/sentinel-VectraXDR-functionapp
Kusto 函式別名 VectraDetections
Kusto 函式 URL https://aka.ms/sentinel-VectraDetections-parser
Log Analytics 數據表(s) Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
數據收集規則支援 目前不支援
支援者: Vectra 支援

查詢範例

Vectra 偵測事件 - 所有偵測事件。

Detections_Data_CL

| sort by TimeGenerated desc

Vectra Audits 事件 - 所有稽核事件。

Audits_Data_CL

| sort by TimeGenerated desc

Vectra 實體評分事件 - 所有實體評分事件。

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Vectra 鎖定事件 - 所有鎖定事件。

Lockdown_Data_CL

| sort by TimeGenerated desc

Vectra 健康情況事件 - 所有健康情況事件。

Health_Data_CL

| sort by TimeGenerated desc

必要條件

若要與 Vectra XDR 整合(使用 Azure Functions),請確定您有:

  • Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions
  • REST API 認證/許可權:健康情況、實體評分、偵測、鎖定和稽核數據收集都需要 Vectra 用戶端標識符和客戶端密碼。 請參閱檔,以深入瞭解 上的 https://support.vectra.ai/s/article/KB-VS-1666API。

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Vectra API,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

注意

此數據連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作。 請遵循下列步驟來建立 Kusto 函式別名VectraDetections、VectraAuditsVectraEntityScoringVectraLockdownVectraHealth。

步驟 1 - Vectra API 認證的設定步驟

請遵循這些指示來建立 Vectra 用戶端識別碼和客戶端密碼。

  1. 登入您的 Vectra 入口網站
  2. 瀏覽至 [管理 -> API 用戶端]
  3. 從 [API 用戶端] 頁面中,選取 [新增 API 用戶端] 以建立新的用戶端。
  4. 新增用戶端名稱,選取 [角色],然後按兩下 [產生認證] 以取得您的客戶端認證。
  5. 請務必記錄您的用戶端識別碼和秘密密鑰以進行安全保護。 您需要這兩項資訊,才能從 Vectra API 取得存取令牌。 需要存取令牌,才能向所有 Vectra API 端點提出要求。

步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式

重要事項: 在部署 Vectra 數據連接器之前,請具有工作區標識碼和工作區主鍵(可複製自下列專案),以及 Vectra API 授權認證。

選項 1 - Azure Resource Manager (ARM) 範本

使用此方法自動部署 Vectra 連接器。

  1. 按兩下下方的 [ 部署至 Azure ] 按鈕。

    部署至 Azure

  2. 選取慣用 的訂用帳戶資源群組位置

  3. 輸入下列資訊:

    • 函數名稱
    • 工作區識別碼
    • 工作區金鑰
    • Vectra 基底 URL https://<vectra-portal-url>
    • Vectra 用戶端識別碼 - 健康情況
    • Vectra 用戶端秘密金鑰 - 健康情況
    • Vectra 用戶端識別碼 - 實體評分
    • Vectra 用戶端密碼 - 實體評分
    • Vectra 用戶端識別碼 - 偵測
    • Vectra 用戶端密碼 - 偵測
    • Vectra 用戶端識別碼 - 稽核
    • Vectra 用戶端密碼 - 稽核
    • Vectra 用戶端識別碼 - 鎖定
    • Vectra 用戶端密碼 - 鎖定
    • StartTime (MM/DD/YYYY HH:MM:SS 格式)
    • 稽核數據表名稱
    • 偵測數據表名稱
    • 實體評分數據表名稱
    • 鎖定數據表名稱
    • 健全狀況數據表名稱
    • 記錄層級 (預設值:INFO)
    • 鎖定排程
    • 健全狀況排程
    • 偵測排程
    • 稽核排程
    • 實體評分排程

  4. 標示為 [我同意上述條款及條件] 的複選框。

  5. 按兩下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure Functions

使用下列逐步指示,透過 Azure Functions 手動部署 Vectra 資料連接器(透過 Visual Studio Code 進行部署)。

1.部署函式應用程式

注意: 您必須 準備 VS 程式代碼 以進行 Azure 函式開發。

  1. 下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。

  2. 啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。

  3. 從擷取的檔案中選取最上層資料夾。

  4. 選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。

  5. 提示中會提供下列資訊:

    a. 選取資料夾:從您的工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。

    b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。

    c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)

    d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您輸入的名稱會進行驗證,以確定該名稱在 Azure Functions 中是唯一的。 (例如 VECTRAXXXXX)。

    e. 選取運行時間: 選擇 Python 3.8 或更新版本。

    f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域

  6. 部署將會開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。

  7. 移至 Azure 入口網站以取得函式應用程式設定。

2.設定函式應用程式

  1. 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定]。
  2. 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定]。
  3. 個別新增下列每個應用程式設定,其各自的值(區分大小寫):
    • 工作區識別碼
    • 工作區金鑰
    • Vectra 基底 URL https://<vectra-portal-url>
    • Vectra 用戶端識別碼 - 健康情況
    • Vectra 用戶端秘密金鑰 - 健康情況
    • Vectra 用戶端識別碼 - 實體評分
    • Vectra 用戶端密碼 - 實體評分
    • Vectra 用戶端識別碼 - 偵測
    • Vectra 用戶端密碼 - 偵測
    • Vectra 用戶端識別碼 - 稽核
    • Vectra 用戶端密碼 - 稽核
    • Vectra 用戶端識別碼 - 鎖定
    • Vectra 用戶端密碼 - 鎖定
    • StartTime (MM/DD/YYYY HH:MM:SS 格式)
    • 稽核數據表名稱
    • 偵測數據表名稱
    • 實體評分數據表名稱
    • 鎖定數據表名稱
    • 健全狀況數據表名稱
    • 記錄層級 (預設值:INFO)
    • 鎖定排程
    • 健全狀況排程
    • 偵測排程
    • 稽核排程
    • 實體評分排程
    • logAnalyticsUri (選擇性)
  • 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值: https://<CustomerId>.ods.opinsights.azure.us
  1. 輸入所有應用程式設定之後,按兩下 [ 儲存]。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案