適用於 Microsoft Sentinel 的 Facebook 工作場所 (使用 Azure Functions) 連接器
Workplace 資料連接器提供透過 Webhook 將常見的 Workplace 事件內嵌至 Microsoft Sentinel 的功能。 Webhook 可讓自定義整合應用程式訂閱 Workplace 中的事件,並即時接收更新。 在 Workplace 中發生變更時,會將具有事件資訊的 HTTPS POST 要求傳送至回呼數據連接器 URL。 如需詳細資訊,請參閱 Webhook 檔。 連接器可讓您取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | Workplace_Facebook_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
工作場所事件 - 所有活動。
Workplace_Facebook_CL
| sort by TimeGenerated desc
必要條件
若要與 Workplace from Facebook 整合 (使用 Azure Functions) 請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Webhook 認證/許可權:WorkplaceAppSecret、WorkplaceVerifyToken、工作 Webhook 需要回呼 URL。 請參閱檔以深入瞭解 如何設定 Webhook、 設定許可權。
廠商安裝指示
注意
此數據連接器會根據 HTTP 觸發程式使用 Azure Functions,以等候具有記錄的 POST 要求,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全的機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure Functions 應用程式使用 Azure 金鑰保存庫。
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期般運作,這會部署為解決方案的一部分。 若要在 Log Analytics 中檢視函式程式代碼,請開啟 Log Analytics/Microsoft Sentinel Logs 刀鋒視窗,按兩下 [函式],然後搜尋別名 WorkplaceFacebook 並載入函式程式代碼,或在此單擊查詢的第二行,輸入 Workplace Facebook 裝置的主機名(s)以及記錄數據流的任何其他唯一標識符。 在解決方案安裝/更新之後,函式通常需要 10-15 分鐘才能啟動。
步驟 1 - 工作場所的設定步驟
請遵循指示來設定 Webhook。
- 使用 管理員 用戶認證登入 Workplace。
- 在 [管理員] 面板中,按兩下 [整合]。
- 在 [ 所有整合] 檢視中,按兩下 [ 建立自定義整合]
- 輸入名稱和描述,然後按兩下 [ 建立]。
- 在 [ 整合詳細資料 ] 面板中,顯示 應用程式秘密 和複製。
- 在 [ 整合許可權 ] pannel 中,設定所有讀取許可權。 如需詳細資訊, 請參閱許可權頁面 。
- 現在請繼續進行步驟 2,以遵循部署 Azure 函式的步驟(選項 1 或 2 中所列)。
- 輸入要求的參數,並輸入選擇的令牌。 請複製此令牌/記下這個令牌以供後續步驟使用。
- 部署 Azure Functions 順利完成之後,請開啟 [函式應用程式] 頁面,選取您的應用程式,移至 [函式],按兩下 [取得函式 URL ],並複製此 /記下後續步驟。
- 從Facebook返回工作場所。 在每個索引標籤上的 [設定 Webhook] 面板中,將 [回呼 URL] 設定為您在上述第 9 點複製的相同值,以及驗證令牌與您在 Azure Functions 部署步驟 2 期間取得的 8 點中複製的相同值。
- 按一下 [檔案] 。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure Functions
重要事項: 在部署 Workplace 數據連接器之前,請具有工作區標識碼和工作區主鍵(可以從下列內容複製)。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。