適用於 Microsoft Sentinel 的 Holm Security Asset Data (使用 Azure Functions) 連接器
連接器提供將 Holm 資訊安全中心的資料輪詢到 Microsoft Sentinel 的功能。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | net_assets_CL web_assets_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Holm 安全性 |
查詢範例
所有低凈資產
net_assets_CL
| where severity_s == 'low'
所有低 Web 資產
web_assets_CL
| where severity_s == 'low'
必要條件
若要與 Holm 安全性資產資料整合 (使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- Holm 安全性 API 權杖:需要 Holm 安全性 API 權杖。 Holm 安全性 API 權杖
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Holm 安全性資產,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - Holm Security API 的設定步驟
遵循這些指示,以建立 API 驗證權杖。
步驟 2 - 使用下列部署選項,以部署連接器和相關聯的 Azure Function
重要事項: 部署 Holm Securit 連接器之前,請具有可供使用的工作區識別碼和工作區主索引鍵 (可從下列位置複製),以及 Holm Securit API 授權權杖。
Azure Resource Manager (ARM) 範本部署
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法自動部署 Holm 安全性連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入工作區識別碼、工作區金鑰、API 使用者名稱、API 密碼、「及/或其他必要欄位」。
若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。 4.選取標示著 [我同意上述條款及條件] 的核取方塊。 5.按一下 [購買] 即可部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。