共用方式為

適用於 Sentinel Microsoft 的 Armis 警示活動 (使用 Azure Functions) 連接器

  • 發行項

Armis 警示活動連接器可讓您透過 Armis REST API 將 Armis 警示和活動內嵌至Microsoft Sentinel。 如需 API 文件的詳細資訊,請參閱:https://<YourArmisInstance>.armis.com/api/v1/docs。 連接器可讓您從 Armis 平臺取得警示和活動資訊,並識別並排定環境中威脅的優先順序。 Armis 使用現有的基礎結構來探索和識別裝置,而不需要部署任何代理程式。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
Azure 函數應用程式程式碼 https://aka.ms/sentinel-ArmisAlertsActivitiesAPI-functionapp
記錄分析資料表 Armis_Alerts_CL
Armis_Activities_CL
資料收集規則支援 目前不支援
支援者: Armis 公司

查詢範例

Armis 警示事件 - 所有警示。

Armis_Alerts_CL

| sort by TimeGenerated desc

Armis 活動事件 - 所有活動。

Armis_Activities_CL

| sort by TimeGenerated desc

必要條件

若要與 Armis 警示活動整合(使用 Azure Functions),請確定您有:

  • Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions
  • REST API 認證/權限:需要 Armis 祕密金鑰。 請參閱文件以深入了解 https://<YourArmisInstance>.armis.com/api/v1/doc 上的 API

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Armis API,將其記錄提取至 Microsoft Sentinel 中。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面

(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

注意

此資料連接器取決於以 Kusto 函式為基礎的剖析器,才能如預期般運作,其部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 ArmisActivities/ArmisAlerts 並載入函式程式代碼。 在安裝/更新解決方案之後,此函式通常需要 10-15 分鐘才能啟動。

步驟 1 - Armis API 的設定步驟

請遵循這些指示來建立 Armis API 祕密金鑰。

  1. 登入您的 Armis 執行個體
  2. 瀏覽至 [設定] -> [API 管理]
  3. 如果尚未建立祕密金鑰,請按 [建立] 按鈕以建立祕密金鑰
  4. 若要存取祕密金鑰,請按 [顯示] 按鈕
  5. 秘密金鑰現在可以在 Armis 警示活動連接器設定期間複製及使用

步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure 函式

重要事項: 部署 Armis 警示活動資料連接器之前,請具有工作區標識碼和工作區主鍵(可複製自下列專案)可供使用。以及 Armis API 授權密鑰(s)

選項 1 - Azure Resource Manager (ARM) 範本

使用此方法自動部署 Armis 連接器。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure 部署至 Azure Gov

  2. 選取偏好的訂用帳戶資源群組位置

  3. 輸入下列資訊:

    • 函數名稱
    • 工作區識別碼
    • 工作區金鑰
    • Armis 祕密金鑰
    • Armis URL https://<armis-instance>.armis.com/api/v1/
    • Armis 警示資料表名稱
    • Armis 活動資料表名稱
    • Armis 排程
    • 避免重複項目 (預設值:true)

  4. 選取標示著 [我同意上述條款及條件] 的核取方塊。

  5. 按一下 [購買] 以部署。

選項 2 - Azure Functions 手動部署

使用下列逐步指示,透過 Azure Functions 手動部署 Armis 警示活動數據連接器(透過 Visual Studio Code 進行部署)。

1.部署函數應用程式

注意:您需要針對 Azure 函式開發準備 VS 程式碼 (部分機器翻譯)。

  1. 下載 Azure 函數應用程式 (英文) 檔案。 將封存擷取至本機開發電腦。

  2. 啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。

  3. 從擷取的檔案中選取最上層的資料夾。

  4. 選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中,選擇 [部署至函數應用程式] 按鈕。 如果您尚未登入,請選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中選擇 [登入 Azure] 如果已登入,請移至下一個步驟。

  5. 提示中會提供下列資訊:

    a. 選取資料夾:從工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。

    b. 選取訂用帳戶:選擇要使用的訂用帳戶。

    c. 選取 [在 Azure 中建立新的函數應用程式] (不要選擇 [進階] 選項)

    d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如,ARMISXXXXX)。

    e. 選取運行時間: 選擇 Python 3.11

    f. 選取新資源的位置。 為了獲得更好的效能和更低的成本,請選擇 Microsoft Sentinel 所在的相同區域

  6. 部署即將開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。

  7. 前往 Azure 入口網站來進行函數應用程式設定。

2.設定函數應用程式

  1. 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]
  2. 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]
  3. 個別新增下列每個應用程式設定,以及其各自的值 (區分大小寫):
    • 工作區識別碼
    • 工作區金鑰
    • Armis 祕密金鑰
    • Armis URL https://<armis-instance>.armis.com/api/v1/
    • Armis 警示資料表名稱
    • Armis 活動資料表名稱
    • Armis 排程
    • 避免重複項目 (預設值:true)
    • logAnalyticsUri (optional)
  • 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將值保留為空白;對於 Azure GovUS 雲端環境,請以下列格式指定值:https://<CustomerId>.ods.opinsights.azure.us
  1. 輸入所有應用程式設定之後,請按一下 [儲存]

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。