Rubrik Security Cloud data connector (使用 Azure Functions) connector for Microsoft Sentinel
Rubrik Security Cloud 數據連接器可讓安全性作業小組將來自 Rubrik 的數據可觀察性服務深入解析整合到 Microsoft Sentinel。 深入解析包括識別與勒索軟體和大規模刪除相關的異常文件系統行為、評估勒索軟體攻擊的爆破半徑,以及敏感數據作員來排定優先順序並更快速地調查潛在事件。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| Azure 函數應用程式程式碼 | https://aka.ms/sentinel-RubrikWebhookEvents-functionapp |
| 記錄分析資料表 | Rubrik_Anomaly_Data_CL Rubrik_Ransomware_Data_CL Rubrik_ThreatHunt_Data_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Rubrik |
查詢範例
Rubrik Anomaly Events - 所有嚴重性類型的異常事件。
Rubrik_Anomaly_Data_CL
| sort by TimeGenerated desc
Rubrik 勒索軟體分析事件 - 所有嚴重性類型的勒索軟體分析事件。
Rubrik_Ransomware_Data_CL
| sort by TimeGenerated desc
Rubrik ThreatHunt 事件 - 所有嚴重性類型的威脅搜捕事件。
Rubrik_ThreatHunt_Data_CL
| sort by TimeGenerated desc
必要條件
若要與 Rubrik Security Cloud 數據連接器整合(使用 Azure Functions),請確定您具有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到將記錄推送至 Microsoft Sentinel 的 Rubrik Webhook。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 Rubrik Microsoft Sentinel 數據連接器之前,請隨時可用的工作區標識碼和工作區主鍵。。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法來自動部署 Rubrik 連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入下列資訊:函式名稱工作區標識符工作區金鑰 Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel
選取標示著 [我同意上述條款及條件] 的核取方塊。
按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,透過 Azure Functions 手動部署 Rubrik Microsoft Sentinel 數據連接器(透過 Visual Studio Code 部署)。
1.部署函數應用程式
注意:您需要針對 Azure 函式開發準備 VS 程式碼 (部分機器翻譯)。
下載 Azure 函數應用程式 (英文) 檔案。 將封存擷取至本機開發電腦。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層的資料夾。
選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中,選擇 [部署至函數應用程式] 按鈕。 如果您尚未登入,請選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中選擇 [登入 Azure] 如果已登入,請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取訂用帳戶:選擇要使用的訂用帳戶。
c. 選取 [在 Azure 中建立新的函數應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如魯里克XXXXX)。
e. 選取執行階段:選擇 Python 3.8 或更高版本。
f. 選取新資源的位置。 為了獲得更好的效能和更低的成本,請選擇 Microsoft Sentinel 所在的相同區域。
部署即將開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
前往 Azure 入口網站來進行函數應用程式設定。
2.設定函數應用程式
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
- 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
- 使用個別值個別新增下列每個應用程式設定(區分大小寫):WorkspaceID WorkspaceKey Anomalies_table_name RansomwareAnalysis_table_name ThreatHunts_table_name LogLevel logAnalyticsUri (選擇性)
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將值保留為空白;對於 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。
- 輸入所有應用程式設定之後,請按一下 [儲存]。
部署後步驟
- 取得函數應用程式端點
- 移至 [Azure 函式概觀] 頁面,然後按兩下 [ 函式] 索引標籤。
- 按兩下名為 「Rubrik HttpStarter」 的函式。
- 移至 [GetFunctionurl],並複製函式 URL。
- 在 RubrikSecurityCloud 中新增 Webhook,以將數據傳送至 sentinel Microsoft。
遵循 Rubrik 使用者指南指示來 新增 Webhook 以開始接收與勒索軟體異常相關的事件資訊
- 選取 [一般] 作為 Webhook 提供者(這會使用 CEF 格式化的事件資訊)
- 針對 Rubrik Microsoft Sentinel 解決方案,輸入複製的 Function-url 作為 Webhook URL 端點的 URL 元件,並將 {functionname}取代為 “RubrikAnomalyOrchestrator”
- 選取 [進階] 或 [自定義驗證] 選項
- 輸入 x-functions-key 作為 HTTP 標頭
- 輸入函式存取金鑰(來自複製函式 URL 的程式代碼參數值)作為 HTTP 值(注意:如果您在未來在 Microsoft Sentinel 中變更此函式存取金鑰,您將需要更新此 Webhook 組態)
- 選取 EventType 作為 Anomaly
- 選取下列嚴重性層級:重大、警告、資訊
- 重複相同的步驟,為勒索軟體調查分析和威脅搜捕新增Webhook。
注意:新增勒索軟體調查分析和威脅搜捕的 Webhook 時,請將 {functionname} 分別取代為複製的 function-url 中的 “RubrikRansomwareOrchestrator” 和 “RubrikThreatHuntOrchestrator”。
現在,我們已使用 rubrik Webhook 設定來完成。 觸發 Webhook 事件之後,您應該能夠看到來自 Rubrik 的異常、勒索軟體調查分析、威脅搜捕事件到名為 “Rubrik_Anomaly_Data_CL”、“Rubrik_Ransomware_Data_CL”、“Rubrik_ThreatHunt_Data_CL” 的個別 LogAnalytics 工作區數據表。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。