Understøttet af:1Adgangskode

Med 1Password CCF-connectoren kan brugeren indtage 1Password Audit, Signin & ItemUsage-hændelser i Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• 1Password API-token: Der kræves et 1Password API-token. Se dokumentationen til 1Password om, hvordan du opretter et API-token.

Installationsvejledning:

TRIN 1 – Opret et 1Password API-token:

Følg dokumentationen til 1Password for at få vejledning i dette trin.

TRIN 2 – Vælg den korrekte basis-URL-adresse:

Der er flere 1Password-servere, der kan hoste dine hændelser. Den korrekte server afhænger af din licens og dit område. Følg dokumentationen til 1Password for at vælge den korrekte server. Angiv den grundlæggende URL-adresse, som vist i dokumentationen (herunder 'https://' og uden et efterfølgende '/').

TRIN 3 – Angiv dine 1Adgangskodeoplysninger:

Angiv 1Passwords grundlæggende URL-adresse & API-token nedenfor:

• Grundlæggende URL-adresse: (angiv url-adressen til basisadressen)
• API-token: (Angiv dit API-token)
• Aktivér/deaktiver forbindelse

Understøttet af:1Adgangskode

1Password-løsningen til Microsoft Sentinel giver dig mulighed for at hente logonforsøg, elementanvendelse og overvågningshændelser fra din 1Password Business-konto ved hjælp af API'en til rapportering af 1Password-hændelser. Dette giver dig mulighed for at overvåge og undersøge hændelser i 1Adgangskode i Microsoft Sentinel sammen med de andre programmer og tjenester, din organisation bruger.

Underliggende anvendte Microsoft-teknologier:

Denne løsning afhænger af følgende teknologier, og nogle af dem kan være i tilstanden Prøveversion eller medføre yderligere omkostninger til indtagelse eller drift:

• Azure Functions

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• 1 Api-token tilpassword-hændelser: Der kræves et 1Password-hændelses-API-token. Du kan få flere oplysninger i 1Password API.

Bemærk: Der kræves en 1Password Business-konto

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til 1Adgangskode til pulllogge til Microsoft Sentinel. Dette kan medføre yderligere dataindtagelsesomkostninger fra Azure. Se siden med Azure Functions priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

TRIN 1 – Konfigurationstrin for api'en til rapportering af 1Password-hændelser

Følg disse instruktioner fra 1Password for at få et API-token til rapportering af hændelser. Bemærk: Der kræves en 1Password Business-konto

TRIN 2 – Installér funktionenApp ved hjælp af knappen DeployToAzure for at oprette tabellen, dcr og den tilknyttede Azure funktion

VIGTIGT: Før du installerer 1Password-connectoren, skal der oprettes en brugerdefineret tabel.

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Denne metode leverer en automatisk udrulning af 1Password-connectoren ved hjælp af en ARM Tempate.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

3. Angiv navnet på arbejdsområdet, navnet på arbejdsområdet, 1Password-hændelses-API-nøglen og URI'en.

• Standardtidsintervallet er angivet til fem (5) minutter. Hvis du vil ændre intervallet, kan du justere timerudløseren for funktionsappen i overensstemmelse hermed (i filen function.json, efter udrulningen) for at forhindre overlappende dataindtagelse.
• Bemærk! Hvis du bruger Azure Key Vault hemmeligheder for en af ovenstående værdier, skal du bruge skemaet@Microsoft.KeyVault(SecretUri={Security Identifier})i stedet for strengværdierne. Du kan finde flere oplysninger i dokumentationen til Key Vault referencer.

4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor.
5. Klik på Køb for at installere.

Understøttes af:Unormal sikkerhed

Connectoren Abnormal Security-data giver mulighed for at indtage trussels- og sagslogge i Microsoft Sentinel ved hjælp af API'en til unormal sikkerhedssikkerhed.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• Unormal sikkerhed-API token: Der kræves et unormalt sikkerhed-API token. Du kan få flere oplysninger under Unormale sikkerhed-API. Bemærk: Der kræves en unormal sikkerhedskonto

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til Rest-API'en for unormal sikkerhed for at hente logge til Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

TRIN 1 – Konfigurationstrin for den unormale sikkerhed-API

Følg disse instruktioner fra Unormal sikkerhed for at konfigurere REST API-integrationen. Bemærk: Der kræves en unormal sikkerhedskonto

TRIN 2 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du udruller connectoren Unormal sikkerhedsdata, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende) samt det unormale sikkerhed-API godkendelsestoken, der er let tilgængeligt.

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Denne metode leverer en automatisk udrulning af connectoren Abnormal Security ved hjælp af en ARM-skabelon.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

3. Angiv id'et for Microsoft Sentinel arbejdsområde, Microsoft Sentinel delt nøgle og unormal REST API-nøgle til sikkerhed.

• Standardtidsintervallet er angivet til at hente de sidste fem (5) minutters data. Hvis tidsintervallet skal ændres, anbefales det at ændre timerudløseren for funktionsappen i overensstemmelse hermed (i function.json-filen, efter udrulningen) for at forhindre overlappende dataindtagelse.

4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor.
5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere connectoren Abnormal Security-data manuelt med Azure Functions (udrulning via Visual Studio Code).

1. Udrul en funktionsapp

BEMÆRK: Du skal forberede VS Code til Azure funktionsudvikling.

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.

2. Start VS Code. Vælg Fil i hovedmenuen, og vælg Åbn mappe.

3. Vælg mappen på øverste niveau fra udpakkede filer.

4. Vælg ikonet Azure på linjen Aktivitet, og vælg derefter knappen Udrul for at fungere som app i området Azure: Funktioner. Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen og derefter i området Azure: Funktioner vælge Log på Azure Hvis du allerede er logget på, skal du gå til næste trin.

5. Angiv følgende oplysninger ved prompterne:

   a. Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.

   b. Vælg abonnement: Vælg det abonnement, der skal bruges.

   c. Vælg Opret ny funktionsapp i Azure (vælg ikke indstillingen Avanceret)

   d. Angiv et globalt entydigt navn til funktionsappen: Skriv et navn, der er gyldigt i en URL-sti. Det navn, du skriver, valideres for at sikre, at det er entydigt i Azure Functions. (f.eks. AbnormalSecurityXX).

   e. Vælg en kørsel: Vælg Python 3.8.

   f. Vælg en placering til nye ressourcer. Hvis du vil have bedre ydeevne og lavere omkostninger, skal du vælge det samme område, hvor Microsoft Sentinel er placeret.

6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.

7. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.

8. Konfigurer funktionsappen

9. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.

10. Under fanen Programindstillinger skal du vælge + Ny programindstilling.

11. Tilføj hver af følgende programindstillinger enkeltvist med deres respektive strengværdier (forskel på store og små bogstaver): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (valgfrit) (tilføj eventuelle andre indstillinger, der kræves af funktionsappen uri ) Angiv værdien til: <add uri value>

Bemærk! Hvis du bruger Azure Key Vault hemmeligheder for en af ovenstående værdier, skal du bruge skemaet@Microsoft.KeyVault(SecretUri={Security Identifier})i stedet for strengværdierne. Du kan finde flere oplysninger i dokumentationen til Azure Key Vault referencer.

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format:https://<CustomerId>.ods.opinsights.azure.us.

4. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:Microsoft Corporation

Agent 365 dataconnector giver bedre indsigt i AI-agentaktivitet ved at hente AI-agenttelemetri fra Agent 365, AI Foundry og Copilot i den Microsoft Sentinel datasø for at undersøge agentadfærd, værktøjsforbrug og udførelse med jagt-, graf- og MCP-arbejdsprocesser. Data fra denne connector bruges til at undersøge funktionsmåden for AI-agenten, brug af værktøj og udførelse i Microsoft Sentinel. Hvis du har aktiveret disse arbejdsprocesser, vil deaktivering af denne connector forhindre, at disse undersøgelser udføres.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Installationsvejledning:

Understøttet af:AIShield

AIShield-connectoren giver brugerne mulighed for at oprette forbindelse med logge for brugerdefinerede forsvarsmekanismer med AIShield med Microsoft Sentinel, hvilket gør det muligt at oprette dynamiske dashboards, projektmapper, notesbøger og tilpassede beskeder for at forbedre undersøgelsen og forhindre angreb på AI-systemer. Det giver brugerne mere indsigt i deres organisations sikkerhedsposturing af AI-aktiver og forbedrer deres funktioner til sikkerhedshandlinger i ai-systemer. AIShield.GuArdIan analyserer det LLM-genererede indhold for at identificere og afhjælpe skadeligt indhold, sikre mod juridiske, politiske, rollebaserede og brugsbaserede overtrædelser

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Bemærk! Brugerne skal have anvendt AIShield SaaS-tilbud til at udføre analyse af sårbarheder og udrullede brugerdefinerede forsvarsmekanismer, der genereres sammen med deres AI-aktiv. Klik her for at få mere at vide eller kontakte.

Installationsvejledning:

BEMÆRK: Denne dataconnector afhænger af en parser, der er baseret på en Kusto-funktion, for at fungere som forventet AIShield, som udrulles med Microsoft Sentinel-løsningen.

VIGTIGT: Før du installerer AIShield Connector, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende).

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Understøttet af:Microsoft Corporation

Dataconnectoren Alibaba Cloud ActionTrail giver mulighed for at hente actiontrail-hændelser, der er gemt i Alibaba Cloud Simple Log Service, og gemme dem i Microsoft Sentinel via SLS REST-API'en. Connectoren gør det muligt at hente hændelser for at vurdere potentielle sikkerhedsrisici, overvåge samarbejde og diagnosticere og foretage fejlfinding af konfigurationsproblemer.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• SLS REST API Legitimationsoplysninger/tilladelser: AliCloudAccessKeyId og AliCloudAccessKeySecret er påkrævet for at foretage API-kald. RAM-politikerklæring med handling af atleast log:GetLogStoreLogs over ressource acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} er nødvendig for at give en RAM-bruger tilladelse til at kalde denne handling.

Installationsvejledning:

Konfigurer adgang til AliCloud SLS API

Før du bruger API'en, skal du forberede din identitetskonto og få adgang til nøgleparret for effektivt at få adgang til API'en.

1. Vi anbefaler, at du bruger en RAM-bruger (Resource Access Management) til at kalde API-handlinger. Du kan få flere oplysninger under Opret en RAM-bruger, og giv RAM-brugeren adgang til Simpel logtjeneste.
2. Hent adgangsnøgleparret for RAM-brugeren. Du kan finde flere oplysninger under Hent adgangsnøglepar.

Bemærk oplysningerne om adgangsnøgleparret for næste trin.

Tilføj ActionTrail-logstore

Hvis du vil aktivere Alibaba Cloud ActionTrail-connectoren for Microsoft Sentinel, skal du klikke på tilføj ActionTrail Logstore, udfylde formularen med konfigurationen af Alibaba Cloud-miljøet og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Alibaba Cloud Networking-dataconnectoren giver mulighed for at indtage Alibaba Cloud-netværksdata i Microsoft Sentinel via SLS REST API'en (Simple Log Service). Du kan finde flere oplysninger i API-dokumentationen . Connectoren giver mulighed for at hente VPC Flow Logs, WAF Logs og API Gateway Logs fra Alibaba Cloud.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Adgang til Alibaba Cloud SLS API: Adgang til Alibaba Cloud Simple Log Service er påkrævet til SLS-API'en.

Installationsvejledning:

Konfigurer adgang til AliCloud SLS API

Før du bruger API'en, skal du forberede din identitetskonto og få adgang til nøgleparret for effektivt at få adgang til API'en.

1. Vi anbefaler, at du bruger en RAM-bruger (Resource Access Management) til at kalde API-handlinger. Du kan få flere oplysninger under Opret en RAM-bruger, og giv RAM-brugeren adgang til Simpel logtjeneste.
2. Hent adgangsnøgleparret for RAM-brugeren. Du kan finde flere oplysninger under Hent adgangsnøglepar.

Bemærk oplysningerne om adgangsnøgleparret for næste trin.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

AliCloud-dataconnectoren giver mulighed for at hente logge fra cloudprogrammer ved hjælp af Cloud-API'en og gemme hændelser i Microsoft Sentinel via REST-API'en. Connectoren gør det muligt at hente hændelser for at vurdere potentielle sikkerhedsrisici, overvåge samarbejde og diagnosticere og foretage fejlfinding af konfigurationsproblemer.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• REST API Legitimationsoplysninger/tilladelser: AliCloudAccessKeyId og AliCloudAccessKey er påkrævet for at foretage API-kald.

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til API'en for Azure Blob Storage til at trække logge til Microsoft Sentinel. Dette kan medføre ekstra omkostninger til dataindtagelse og lagring af data i Azure Blob Storage omkostninger. Se siden med Azure Functions priser og siden med Azure Blob Storage priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

BEMÆRK: Denne dataconnector afhænger af en parser, der er baseret på en Kusto-funktion, for at fungere som forventet i AliCloud, som udrulles med Microsoft Sentinel-løsningen.

TRIN 1 – Konfigurationstrin til AliCloud-API'en

Følg vejledningen for at hente legitimationsoplysningerne.

1. Hent AliCloudAccessKeyId og AliCloudAccessKey: Log på kontoen, klik på AccessKey Management, og klik derefter på Vis hemmelighed.
2. Gem legitimationsoplysninger til brug i dataconnectoren.

TRIN 2 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du installerer AliCloud-dataconnectoren, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende).

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Brug denne metode til automatisk udrulning af AliCloud-dataconnectoren ved hjælp af en ARM-skabelon.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

BEMÆRK: I den samme ressourcegruppe kan du ikke blande Windows- og Linux-apps i det samme område. Vælg en eksisterende ressourcegruppe uden Windows-apps, eller opret en ny ressourcegruppe. 3. Angiv WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects og AppInsightsWorkspaceResourceID og installér. 4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor. 5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere AliCloud-dataconnectoren manuelt med Azure Functions (installation via Visual Studio Code).

1. Udrul en funktionsapp

BEMÆRK: Du skal forberede VS Code til Azure funktionsudvikling.

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.

2. Start VS Code. Vælg Fil i hovedmenuen, og vælg Åbn mappe.

3. Vælg mappen på øverste niveau fra udpakkede filer.

4. Vælg ikonet Azure på linjen Aktivitet, og vælg derefter knappen Udrul for at fungere som app i området Azure: Funktioner. Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen og derefter i området Azure: Funktioner vælge Log på Azure Hvis du allerede er logget på, skal du gå til næste trin.

5. Angiv følgende oplysninger ved prompterne:

   a. Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.

   b. Vælg abonnement: Vælg det abonnement, der skal bruges.

   c. Vælg Opret ny funktionsapp i Azure (vælg ikke indstillingen Avanceret)

   d. Angiv et globalt entydigt navn til funktionsappen: Skriv et navn, der er gyldigt i en URL-sti. Det navn, du skriver, valideres for at sikre, at det er entydigt i Azure Functions. (f.eks. AliCloudXXXXXX).

   e. Vælg en kørsel: Vælg Python 3.11.

   f. Vælg en placering til nye ressourcer. Hvis du vil have bedre ydeevne og lavere omkostninger, skal du vælge det samme område, hvor Microsoft Sentinel er placeret.

6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.

7. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.

8. Konfigurer funktionsappen

9. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.

10. Vælg Indstillingen Nyt program under fanen Programindstillinger.

11. Tilføj hver af følgende programindstillinger individuelt med deres respektive strengværdier (forskel på store og små bogstaver): WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

4. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:Microsoft Corporation

Instruktioner til at oprette forbindelse til AWS og streame dine CloudTrail-logge til Microsoft Sentinel vises under installationsprocessen. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Understøttet af:Microsoft Corporation

Denne dataconnector muliggør integration af AWS CloudFront-logge med Microsoft Sentinel for at understøtte avanceret trusselsregistrering, undersøgelse og sikkerhedsovervågning. Ved at bruge Amazon S3 til loglagring og Amazon SQS til msmq bruger connectoren pålideligt CloudFront-adgangslogge til Microsoft Sentinel

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

Indtagelse af AWS CloudFront-logge i Microsoft Sentinel

Liste over påkrævede ressourcer:

• OIDC-udbyder (Open ID Connect)
• IAM-rolle
• Amazon S3 Bucket
• Amazon SQS
• Konfiguration af AWS CloudFront

1. AWS CloudFormation Deployment To configure access on AWS, to skabeloner er blevet genereret for at konfigurere AWS-miljøet til at sende logge fra en S3-bucket til dit Log Analytics Workspace.

Opret Stak i AWS for hver skabelon:

1. Gå til AWS CloudFormation Stacks.
2. Vælg indstillingen 'Angiv skabelon', derefter 'Overfør en skabelonfil' ved at klikke på 'Vælg fil' og vælge den relevante CloudFormation-skabelonfil, der er angivet nedenfor. klik på 'Vælg fil', og vælg den downloadede skabelon.
3. Klik på 'Næste' og 'Opret stak'.

• Skabelon 1: Installation af OpenID til godkendelse af forbindelse: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWSCloudFront-ressourcer: <variabel værdi angivet på installationstidspunktet>

2. Forbind nye samlere Hvis du vil aktivere AWS S3 for Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de nødvendige oplysninger i kontekstruden og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

MED AWS ELB-connectoren (Elastic Load Balancing) til Microsoft Sentinel kan du overføre adgangslogge og flowlogfiler fra AWS ALB (Application Load Balancers), NLB (Network Load Balancers) og GLB (Gateway Load Balancers) til Microsoft Sentinel. Disse logge indeholder detaljerede oplysninger om anmodninger, der behandles af dine belastningsjusteringer og VPC-trafikflows, hvilket muliggør sikkerhedsovervågning, trusselsregistrering og trafikanalyse.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• AWS IAM-rolle ARN- og SQS-kø: Der kræves en AWS IAM-rolle-ARN med adgang på tværs af konti og en URL-adresse til SQS-kø, der er konfigureret til S3-hændelsesmeddelelser. Se dokumentationen til AWS ELB-connector for at få instruktioner til konfiguration.

Installationsvejledning:

1. AWS CloudFormation Deployment Hvis du vil konfigurere adgang på AWS, skal du bruge CloudFormation-skabeloner til at konfigurere miljøet til at sende logge fra ALB, NLB og GLB til dit Log Analytics Workspace.

Installationstrin:

1. Gå til Skabeloner til cloudformation, download JSON-skabelonfilerne.
2. Gå til AWS CloudFormation Stacks.
3. Installer først skabelonen OIDCWebIdProvider.json (spring over, hvis du allerede har en OIDC-provider til Microsoft Sentinel).
4. Udrul derefter skabelonen AWSS3ELB.json med dine parametre.
5. Notér følgende værdier fra stakoutputtet:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Konfiguration efter installation:

Når CloudFormation-stakken er udrullet:

• Gå til fanen Ressourcer i stakken.
• Find det oprettede S3-bucketnavn.
• Opret følgende mapper manuelt i S3-bucket'en:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Sender logge:

Når mappen er oprettet, skal du konfigurere AWS-tjenesterne til at sende logge til de relevante mapper:

• ALB-adgangslogge –>ALBLogs/
• NLB-adgangslogge –>NLBAccessLogs/
• NLB-flowlogge –>NLBFlowLogs/
• GLB-flowlogge –>GLBFlowLogs/

Disse logge overføres til de tilsvarende tabeller i dit Log Analytics-arbejdsområde.

Tabeltilknytning:

• ALB-adgangslogge –>AWSALBAccessLogsData
• NLB-adgangslogge –>AWSNLBAccessLogsData
• NLB- og GLB-flowlogge –>AWSELBFlowLogsData

Bemærk: I tabellen AWSELBFlowLogsData angiver en kolonne med navnet LogType , om en række er fra NLB-flowlogge eller GLB-flowlogge.

2. Forbind nye samlere Hvis du vil aktivere connectoren, skal du klikke på Tilføj ny samler, angive de påkrævede oplysninger og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Denne dataconnector giver dig mulighed for at indlæse AWS Network Firewall-logge i Microsoft Sentinel til avanceret trusselsregistrering og sikkerhedsovervågning. Ved at udnytte Amazon S3 og Amazon SQS videresender connectoren logge for netværkstrafik, beskeder om registrering af indbrud og firewallhændelser for at Microsoft Sentinel, hvilket muliggør analyse i realtid og korrelation med andre sikkerhedsdata

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

Indtagelse af AWS NetworkFirewall-logge i Microsoft Sentinel

Liste over påkrævede ressourcer:

• OIDC-udbyder (Open ID Connect)
• IAM-rolle
• Amazon S3 Bucket
• Amazon SQS
• Konfiguration af AWSNetworkFirewall
• Følg denne vejledning for konfiguration af AWS NetworkFirewall Data connector

1. AWS CloudFormation Deployment To configure access on AWS, to skabeloner er blevet genereret for at konfigurere AWS-miljøet til at sende logge fra en S3-bucket til dit Log Analytics Workspace.

Opret Stak i AWS for hver skabelon:

1. Gå til AWS CloudFormation Stacks.
2. Vælg indstillingen 'Angiv skabelon', derefter 'Overfør en skabelonfil' ved at klikke på 'Vælg fil' og vælge den relevante CloudFormation-skabelonfil, der er angivet nedenfor. klik på 'Vælg fil', og vælg den downloadede skabelon.
3. Klik på 'Næste' og 'Opret stak'.

• Skabelon 1: Installation af OpenID til godkendelse af forbindelse: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWSNetworkFirewall-ressourcer: <variabel værdi angivet på installationstidspunktet>

2. Forbind nye samlere Hvis du vil aktivere AWS S3 for Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de nødvendige oplysninger i kontekstruden og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Denne connector giver dig mulighed for at indføde AWS-tjenestelogge, der er indsamlet i AWS S3-buckets, for at Microsoft Sentinel. De datatyper, der understøttes i øjeblikket, er:

• AWS CloudTrail
• VPC-flowlogge
• AWS GuardDuty
• AWSCloudWatch

Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Miljø: Du skal have defineret og konfigureret følgende AWS-ressourcer: S3, SQS (Simple Queue Service), IAM-roller og tilladelsespolitikker og de AWS-tjenester, hvis logge du vil indsamle.

Installationsvejledning:

1. Konfigurer dit AWS-miljø

Der er to muligheder for at konfigurere dit AWS-miljø til at sende logge fra en S3-bucket til dit Log Analytics-arbejdsområde:

Konfiguration med PowerShell-script (anbefales)

• Kør script for at konfigurere miljøet: <variabelværdi, der leveres på installationstidspunktet>
• eksternt id (arbejdsområde-id):<variabelværdi, der angives på installationstidspunktet>

Manuel konfiguration

Følg instruktionen i følgende link for at konfigurere miljøet: Opret forbindelse mellem AWS S3 og Microsoft Sentinel

2. Tilføj forbindelse

Understøttet af:Microsoft Corporation

Denne connector muliggør indtagelse af AWS Route 53 DNS-logge i Microsoft Sentinel for at opnå forbedret synlighed og trusselsregistrering. Den understøtter DNS Resolver-forespørgselslogge, der indtages direkte fra AWS S3-buckets, mens offentlige DNS-forespørgselslogge og Rute 53-overvågningslogge kan indtages ved hjælp af Microsoft Sentinel AWS CloudWatch- og CloudTrail-connectors. Der leveres omfattende instruktioner, som guider dig gennem konfigurationen af hver logtype. Udnyt denne connector til at overvåge DNS-aktivitet, registrere potentielle trusler og forbedre din sikkerhedsholdning i cloudmiljøer.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

AWS-rute53

Denne connector muliggør indtagelse af AWS Route 53 DNS-logge i Microsoft Sentinel, hvilket giver forbedret synlighed i DNS-aktivitet og styrkelse af funktioner til trusselsregistrering. Den understøtter direkte indtagelse af DNS Resolver-forespørgselslogge fra AWS S3-buckets, mens offentlige DNS-forespørgselslogge og Rute 53-overvågningslogge kan indtages via Microsoft Sentinel AWS CloudWatch- og CloudTrail-connectors. Der er detaljerede installationsinstruktioner for hver logtype. Brug denne connector til at overvåge DNS-trafik, identificere potentielle trusler og forbedre din cloudsikkerhedsholdning.

Du kan hente følgende type logge fra AWS-rute 53 til Microsoft Sentinel:

1. Route 53 Resolver-forespørgselslogge
2. Forespørgselslogge for rute 53 offentligt hostede zoner (via Microsoft Sentinel CloudWatch-connector)
3. Rute 53-overvågningslogge (via Microsoft Sentinel CloudTrail-connector)

Indtagelse af Route53 Resolver-forespørgselslogge i Microsoft Sentinel

Liste over påkrævede ressourcer:

• OIDC-udbyder (Open ID Connect)
• IAM-rolle
• Amazon S3 Bucket
• Amazon SQS
• Konfiguration af rute 53 Resolver-forespørgselslogføring
• VPC, der skal knyttes til konfiguration af Forespørgselslog for Route53 Resolver

1. AWS CloudFormation Deployment To configure access on AWS, to skabeloner er blevet genereret for at konfigurere AWS-miljøet til at sende logge fra en S3-bucket til dit Log Analytics Workspace.

Opret Stak i AWS for hver skabelon:

1. Gå til AWS CloudFormation Stacks.
2. Vælg indstillingen 'Angiv skabelon', derefter 'Overfør en skabelonfil' ved at klikke på 'Vælg fil' og vælge den relevante CloudFormation-skabelonfil, der er angivet nedenfor. klik på 'Vælg fil', og vælg den downloadede skabelon.
3. Klik på 'Næste' og 'Opret stak'.

• Skabelon 1: Installation af OpenID til godkendelse af forbindelse: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWS Route53-ressourcer: <variabel værdi angivet på installationstidspunktet>

2. Opret forbindelse til nye samlere Hvis du vil aktivere Amazon Web Services S3 DNS Route53 for Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de påkrævede oplysninger i kontekstruden og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Indtagelse af forespørgselslogge for offentlig hostede zoner for Rute 53 (via Microsoft Sentinel CloudWatch-connector)

Offentlige hostede zoneforespørgselslogge eksporteres til CloudWatch-tjenesten i AWS. Vi kan bruge connectoren 'Amazon Web Services S3' til at indtage CloudWatch-logge fra AWS til Microsoft Sentinel.

Trin 1: Konfigurer logføring for offentlige DNS-forespørgsler

1. Log på AWS-administrationskonsollen, og åbn Route 53-konsollen på AWS Route 53.
2. Gå til Rute 53 > Hostede zoner.
3. Vælg den offentlig hostede zone, du vil konfigurere logføring af forespørgsler for.
4. Klik på "Konfigurer logføring af forespørgsel" i ruden Med oplysninger om hostede zoner.
5. Vælg en eksisterende loggruppe, eller opret en ny loggruppe.
6. Vælg Opret.

Trin 2: Konfigurer Amazon Web Services S3-dataconnector til AWS CloudWatch

AWS CloudWatch-logge kan eksporteres til en S3-bucket ved hjælp af funktionen lambda. Hvis du vil overføre offentlige DNS-forespørgsler fra AWS CloudWatch til S3 bucket og derefter Microsoft Sentinel, skal du følge vejledningen i Amazon Web Services S3-connectoren.

Indtagelse af rute 53-overvågningslogge (via Microsoft Sentinel CloudTrail-connector)

Rute 53-overvågningslogge, dvs. logge, der er relateret til handlinger, der udføres af bruger, rolle eller AWS-tjeneste i rute 53, kan eksporteres til en S3-bucket via AWS CloudTrail-tjenesten. Vi kan bruge connectoren 'Amazon Web Services S3' til at indtage CloudTrail-logge fra AWS til Microsoft Sentinel.

Trin 1: Konfigurer logføring for AWS-rute 53-overvågningslogge

1. Log på AWS-administrationskonsollen, og åbn CloudTrail-konsollen på AWS CloudTrail
2. Hvis du ikke har et eksisterende spor, skal du klikke på 'Opret spor'
3. Angiv et navn til dit spor i feltet Trail name (Stinavn).
4. Vælg Opret ny S3-bucket (du kan også vælge at bruge en eksisterende S3-bucket).
5. Behold de andre indstillinger som standard, og klik på Næste.
6. Vælg Hændelsestype. Sørg for, at Administrationshændelser er valgt.
7. Vælg API-aktivitet, 'Læs' og 'Skriv'
8. Klik på Næste.
9. Gennemse indstillingerne, og klik på 'Opret spor'.

Trin 2: Konfigurer Amazon Web Services S3-dataconnector til AWS CloudTrail

Hvis du vil hente overvågnings- og administrationslogge fra AWS CloudTrail til Microsoft Sentinel, skal du følge vejledningen i Amazon Web Services S3-connectoren

Understøttet af:Microsoft Corporation

Denne connector giver dig mulighed for at indtage AWS WAF-logge, der indsamles i AWS S3-buckets, for at Microsoft Sentinel. AWS WAF-logge er detaljerede poster over trafik, som ACL'er (Web Access Control Lists) analyserer, hvilket er afgørende for at opretholde sikkerheden og ydeevnen af webprogrammer. Disse logge indeholder oplysninger som f.eks. det tidspunkt, hvor AWS WAF modtog anmodningen, specifikationerne for anmodningen og den handling, der blev udført af den regel, som anmodningen matchede.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

1. AWS CloudFormation Deployment To configure access on AWS, to skabeloner er blevet genereret for at konfigurere AWS-miljøet til at sende logge fra en S3-bucket til dit Log Analytics Workspace.

Opret Stak i AWS for hver skabelon:

1. Gå til AWS CloudFormation Stacks.
2. Vælg indstillingen 'Angiv skabelon', derefter 'Overfør en skabelonfil' ved at klikke på 'Vælg fil' og vælge den relevante CloudFormation-skabelonfil, der er angivet nedenfor. klik på 'Vælg fil', og vælg den downloadede skabelon.
3. Klik på 'Næste' og 'Opret stak'.

• Skabelon 1: Installation af OpenID til godkendelse af forbindelse: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWS WAF-ressourcer: <Variabelværdi angivet på installationstidspunktet>

2. Forbind nye samlere Hvis du vil aktivere AWS S3 for Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de nødvendige oplysninger i kontekstruden og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Anvilogic

Med Anvilogic-dataconnectoren kan du trække interessante hændelser, der er genereret i Anvilogic ADX-klyngen, ind i din Microsoft Sentinel

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Anvilogic Application Registration Client ID og Client Secret: For at få adgang til Anvilogic ADX kræver vi klient-id'et og klienthemmeligheden fra registreringen af Anvilogic-appen

Installationsvejledning:

Opret forbindelse til Anvilogic for at begynde at indsamle begivenheder af interesse for Microsoft Sentinel

Udfyld formularen for at overføre Anvilogic-beskeder til din Microsoft Sentinel

• Tokenslutpunkt: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Anvilogic ADX-område: (<avl_adx_uri>/.default)
• Anvilogic ADX-anmodnings-URI: (<avl_adx_uri>/v2/rest/query)

Understøttet af:ARGOS Cloud Security

ARGOS Cloud Security-integrationen for Microsoft Sentinel giver dig mulighed for at have alle dine vigtige cloudsikkerhedshændelser samlet på ét sted. Dette giver dig mulighed for nemt at oprette dashboards, beskeder og korrelere hændelser på tværs af flere systemer. Samlet set vil dette forbedre din organisations sikkerhedsholdning og svar på sikkerhedshændelser.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Installationsvejledning:

1. Abonner på ARGOS

Sørg for, at du allerede ejer et ARGOS-abonnement. Hvis det ikke er muligt, skal du gå til ARGOS Cloud Security og tilmelde dig ARGOS.

Alternativt kan du også købe ARGOS via Azure Marketplace.

2. Konfigurer Sentinel integration fra ARGOS

Konfigurer ARGOS for at videresende nye registreringer til dit Sentinel arbejdsområde ved at give ARGOS dit arbejdsområde-id og din primære nøgle.

Det er ikke nødvendigt at installere en brugerdefineret infrastruktur.

Angiv oplysningerne på konfigurationssiden for ARGOS-Sentinel.

Nye registreringer videresendes automatisk.

Få mere at vide om integrationen

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Understøttet af:Armis Corporation

Connectoren Armis Alerts Activities giver mulighed for at overføre Armis-beskeder og -aktiviteter til Microsoft Sentinel via Armis REST-API'en. Du kan finde flere oplysninger i API-dokumentationen https://<YourArmisInstance>.armis.com/api/v1/docs . Connectoren giver mulighed for at få besked- og aktivitetsoplysninger fra Armis-platformen og identificere og prioritere trusler i dit miljø. Armis bruger din eksisterende infrastruktur til at finde og identificere enheder uden at skulle udrulle agenter.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• REST API Credentials/permissions: Armis Secret Key er påkrævet. Se dokumentationen for at få mere at vide om API på https://<YourArmisInstance>.armis.com/api/v1/doc

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til Armis-API'en for at hente dens logge ind i Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

BEMÆRK: Denne dataconnector afhænger af en parser, der er baseret på en Kusto-funktion, for at fungere som forventet, som udrulles som en del af løsningen. Hvis du vil have vist funktionskoden i Log Analytics, skal du åbne bladet Log Analytics/Microsoft Sentinel Logs, klikke på Funktioner og søge efter aliaset ArmisActivities/ArmisAlerts og indlæse funktionskoden. Funktionen tager normalt 10-15 minutter at aktivere efter installation/opdatering af løsningen.

TRIN 1 – Konfigurationstrin for Armis-API'en

Følg disse instruktioner for at oprette en Armis API-hemmelig nøgle.

1. Log på din Armis-forekomst
2. Gå til Indstillinger –> API Management
3. Hvis den hemmelige nøgle ikke allerede er oprettet, skal du trykke på knappen Opret for at oprette den hemmelige nøgle
4. Hvis du vil have adgang til den hemmelige nøgle, skal du trykke på knappen Vis
5. Den hemmelige nøgle kan nu kopieres og bruges under konfigurationen af Armis Alerts Activities-connectoren

TRIN 2 – Trin til appregistrering for programmet i Microsoft Entra ID

Denne integration kræver en appregistrering i Azure Portal. Følg trinnene i dette afsnit for at oprette et nyt program i Microsoft Entra ID:

1. Log på portalenAzure.
2. Søg efter og vælg Microsoft Entra ID.
3. Under Administrer skal du vælge Appregistreringer > Ny registrering.
4. Angiv et vist navn til programmet.
5. Vælg Registrer for at fuldføre den indledende appregistrering.
6. Når registreringen er fuldført, viser Azure Portal ruden Oversigt for appregistrering. Du kan se program-id'et (klient-) og lejer-id'et. Klient-id'et og lejer-id'et er påkrævet som konfigurationsparametre for udførelsen af Dataconnectoren For Aktiviteter for Armis-beskeder.

Referencelink:/azure/active-directory/develop/quickstart-register-app

TRIN 3 – Tilføj en klienthemmelighed for programmet i Microsoft Entra ID

En klienthemmelighed, der nogle gange kaldes en adgangskode til et program, er en strengværdi, der kræves til udførelse af Dataconnectoren For Aktiviteter for Armis-beskeder. Følg trinnene i dette afsnit for at oprette en ny klienthemmelighed:

1. Vælg dit program i Appregistreringer i Azure Portal.
2. Vælg Certifikater & hemmeligheder > Klienthemmeligheder > Ny klienthemmelighed.
3. Tilføj en beskrivelse af din klienthemmelighed.
4. Vælg et udløb for hemmeligheden, eller angiv en brugerdefineret levetid. Grænsen er 24 måneder.
5. Vælg Tilføj.
6. Registrer hemmelighedens værdi til brug i din klientprogramkode. Denne hemmelige værdi vises aldrig igen, når du forlader denne side. Værdien for hemmeligheden er påkrævet som konfigurationsparameter for udførelsen af Dataconnector til aktiviteter for armis-beskeder.

Referencelink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

TRIN 4 – Tildel rollen bidragyder til programmet i Microsoft Entra ID

Følg trinnene i dette afsnit for at tildele rollen:

1. I Azure Portal skal du gå til ressourcegruppe og vælge din ressourcegruppe.
2. Gå til Adgangskontrol (IAM) fra venstre panel.
3. Klik på Tilføj, og vælg derefter Tilføj rolletildeling.
4. Vælg Bidragyder som rolle, og klik på næste.
5. I Tildel adgang til skal du vælge User, group, or service principal.
6. Klik på Tilføj medlemmer, skriv det appnavn , du har oprettet, og vælg det.
7. Klik nu på Gennemse + tildel, og klik derefter igen på Gennemse + tildel.

Referencelink:/azure/role-based-access-control/role-assignments-portal

TRIN 5 – Opret et keyvault

Følg disse instruktioner for at oprette et nyt Keyvault.

1. Gå til Key vaults i Azure Portal. Klik på Opret.
2. Vælg Subsciption, Resource Group, og angiv et entydigt navn på keyvault.

BEMÆRK! Opret en separat key vault for hver API-nøgle i ét arbejdsområde.

TRIN 6 – Opret adgangspolitik i Keyvault

Følg disse instruktioner for at oprette adgangspolitik i Keyvault.

1. Gå til keyvaults, vælg dit keyvault, gå til Adgangspolitikker på venstre sidepanel. Klik på Opret.
2. Vælg alle nøgler & tilladelser til hemmeligheder. Klik på næste.
3. I det primære afsnit skal du søge efter programnavn, der blev genereret i STEP - 2. Klik på næste.

BEMÆRK! Sørg for, at tilladelsesmodellen i adgangskonfigurationen for Key Vault er angivet til 'Vault-adgangspolitik'

TRIN 7 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du installerer dataconnectoren Armis Alerts Activities, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende) let tilgængelige.., samt Armis API Authorization Key(s)

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Brug denne metode til automatisk udrulning af Armis-connectoren.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.msaka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

3. Angiv nedenstående oplysninger: Arbejdsområde-id for funktionsnavn Arbejdsområde Nøgle armis URL-adresse til hemmelig nøgle armis (https://< armis-instance.armis.com/api/v1/>) Navn på armis-beskedtabel
   Alvorsgrad af navn på armis-aktivitetstabel (standard: Lav) Armis Planlæg keyVault-navn Azure klient-id Azure lejer-id for klienthemmelighed

4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor.

5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere dataconnectoren Armis Alerts Activities manuelt med Azure Functions (udrulning via Visual Studio Code).

1. Udrul en funktionsapp

BEMÆRK: Du skal forberede VS Code til Azure funktionsudvikling.

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.

2. Start VS Code. Vælg Fil i hovedmenuen, og vælg Åbn mappe.

3. Vælg mappen på øverste niveau fra udpakkede filer.

4. Vælg ikonet Azure på linjen Aktivitet, og vælg derefter knappen Udrul for at fungere som app i området Azure: Funktioner. Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen og derefter i området Azure: Funktioner vælge Log på Azure Hvis du allerede er logget på, skal du gå til næste trin.

5. Angiv følgende oplysninger ved prompterne:

   a. Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.

   b. Vælg abonnement: Vælg det abonnement, der skal bruges.

   c. Vælg Opret ny funktionsapp i Azure (vælg ikke indstillingen Avanceret)

   d. Angiv et globalt entydigt navn til funktionsappen: Skriv et navn, der er gyldigt i en URL-sti. Det navn, du skriver, valideres for at sikre, at det er entydigt i Azure Functions. (f.eks. ARMISXXXXXX).

   e. Vælg en kørsel: Vælg Python 3.11

   f. Vælg en placering til nye ressourcer. Hvis du vil have bedre ydeevne og lavere omkostninger, skal du vælge det samme område, hvor Microsoft Sentinel er placeret.

6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.

7. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.

8. Konfigurer funktionsappen

9. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.

10. Under fanen Programindstillinger skal du vælge + Ny programindstilling.

11. Tilføj hver af følgende programindstillinger enkeltvis med deres respektive værdier (forskel på store og små bogstaver): Arbejdsområde-id-nøgle armis url-adresse til hemmelige nøglearmis (https://< armis-instance.armis.com/api/v1/>) Armis-beskedtabelnavn Navn på armis aktivitetstabels alvorsgrad (standard: Lav) Armis Planlæg keyVault-navn Azure klient-id Azure klienthemmelighed for lejer-id logAnalyticsUri (valgfrit)

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

4. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:Armis Corporation

Armis Device-connectoren giver mulighed for at indtage Armis-enheder i Microsoft Sentinel via Armis REST-API'en. Du kan finde flere oplysninger i API-dokumentationen https://<YourArmisInstance>.armis.com/api/v1/docs . Connectoren giver mulighed for at hente enhedsoplysninger fra Armis-platformen. Armis bruger din eksisterende infrastruktur til at finde og identificere enheder uden at skulle udrulle agenter. Armis kan også integreres med dine eksisterende værktøjer til administration af it-& for at identificere og klassificere hver enkelt enhed, der administreres eller ikke administreres i dit miljø.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• REST API Credentials/permissions: Armis Secret Key er påkrævet. Se dokumentationen for at få mere at vide om API på https://<YourArmisInstance>.armis.com/api/v1/doc

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til Armis-API'en for at hente dens logge ind i Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

BEMÆRK! Denne dataconnector afhænger af en parser, der er baseret på en Kusto-funktion, for at fungere som forventet. Følg disse trin for at oprette aliasset Kusto-funktioner, ArmisDevice

TRIN 1 – Konfigurationstrin for Armis-API'en

Følg disse instruktioner for at oprette en Armis API-hemmelig nøgle.

1. Log på din Armis-forekomst
2. Gå til Indstillinger –> API Management
3. Hvis den hemmelige nøgle ikke allerede er oprettet, skal du trykke på knappen Opret for at oprette den hemmelige nøgle
4. Hvis du vil have adgang til den hemmelige nøgle, skal du trykke på knappen Vis
5. Den hemmelige nøgle kan nu kopieres og bruges under konfigurationen af Armis-enhedsconnectoren

TRIN 2 – Trin til appregistrering for programmet i Microsoft Entra ID

Denne integration kræver en appregistrering i Azure Portal. Følg trinnene i dette afsnit for at oprette et nyt program i Microsoft Entra ID:

1. Log på portalenAzure.
2. Søg efter og vælg Microsoft Entra ID.
3. Under Administrer skal du vælge Appregistreringer > Ny registrering.
4. Angiv et vist navn til programmet.
5. Vælg Registrer for at fuldføre den indledende appregistrering.
6. Når registreringen er fuldført, viser Azure Portal ruden Oversigt for appregistrering. Du kan se program-id'et (klient-) og lejer-id'et. Klient-id'et og lejer-id'et kræves som konfigurationsparametre for udførelsen af Armis Device Data Connector.

Referencelink:/azure/active-directory/develop/quickstart-register-app

TRIN 3 – Tilføj en klienthemmelighed for programmet i Microsoft Entra ID

En klienthemmelighed, der nogle gange kaldes en adgangskode til et program, er en strengværdi, der kræves til udførelse af Armis Device Data Connector. Følg trinnene i dette afsnit for at oprette en ny klienthemmelighed:

1. Vælg dit program i Appregistreringer i Azure Portal.
2. Vælg Certifikater & hemmeligheder > Klienthemmeligheder > Ny klienthemmelighed.
3. Tilføj en beskrivelse af din klienthemmelighed.
4. Vælg et udløb for hemmeligheden, eller angiv en brugerdefineret levetid. Grænsen er 24 måneder.
5. Vælg Tilføj.
6. Registrer hemmelighedens værdi til brug i din klientprogramkode. Denne hemmelige værdi vises aldrig igen, når du forlader denne side. Værdien for hemmeligheden er påkrævet som konfigurationsparameter for udførelsen af Armis Device Data Connector.

Referencelink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

TRIN 4 – Tildel rollen bidragyder til programmet i Microsoft Entra ID

Følg trinnene i dette afsnit for at tildele rollen:

1. I Azure Portal skal du gå til ressourcegruppe og vælge din ressourcegruppe.
2. Gå til Adgangskontrol (IAM) fra venstre panel.
3. Klik på Tilføj, og vælg derefter Tilføj rolletildeling.
4. Vælg Bidragyder som rolle, og klik på næste.
5. I Tildel adgang til skal du vælge User, group, or service principal.
6. Klik på Tilføj medlemmer, skriv det appnavn , du har oprettet, og vælg det.
7. Klik nu på Gennemse + tildel, og klik derefter igen på Gennemse + tildel.

Referencelink:/azure/role-based-access-control/role-assignments-portal

TRIN 5 – Opret et keyvault

Følg disse instruktioner for at oprette et nyt Keyvault.

1. Gå til Key vaults i Azure Portal. Klik på Opret.
2. Vælg Subsciption, Resource Group, og angiv et entydigt navn på keyvault.

BEMÆRK! Opret en separat key vault for hver API-nøgle i ét arbejdsområde.

TRIN 6 – Opret adgangspolitik i Keyvault

Følg disse instruktioner for at oprette adgangspolitik i Keyvault.

1. Gå til keyvaults, vælg dit keyvault, gå til Adgangspolitikker på venstre sidepanel. Klik på Opret.
2. Vælg alle nøgler & tilladelser til hemmeligheder. Klik på næste.
3. I det primære afsnit skal du søge efter programnavn, der blev genereret i STEP - 2. Klik på næste.

BEMÆRK! Sørg for, at tilladelsesmodellen i adgangskonfigurationen for Key Vault er angivet til 'Vault-adgangspolitik'

TRIN 7 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du installerer Armis-enhedsdataconnectoren, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende) let tilgængelige.., samt Armis API Authorization Key(s)

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Brug denne metode til automatisk udrulning af Armis-connectoren.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.msaka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

3. Angiv nedenstående oplysninger: Arbejdsområde-id for funktionsnavn Arbejdsområde Nøgle armis url-adresse til hemmelig nøgle armis (https://< armis-instance.armis.com/api/v1/>) Armis Enhedstabelnavn Armis Planlæg keyVault-navn Azure klient-id Azure klienthemmeligt lejer-id

4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor.

5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere Armis-enhedsdataconnectoren manuelt med Azure Functions (udrulning via Visual Studio Code).

1. Udrul en funktionsapp

BEMÆRK: Du skal forberede VS Code til Azure funktionsudvikling.

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.

2. Start VS Code. Vælg Fil i hovedmenuen, og vælg Åbn mappe.

3. Vælg mappen på øverste niveau fra udpakkede filer.

4. Vælg ikonet Azure på linjen Aktivitet, og vælg derefter knappen Udrul for at fungere som app i området Azure: Funktioner. Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen og derefter i området Azure: Funktioner vælge Log på Azure Hvis du allerede er logget på, skal du gå til næste trin.

5. Angiv følgende oplysninger ved prompterne:

   a. Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.

   b. Vælg abonnement: Vælg det abonnement, der skal bruges.

   c. Vælg Opret ny funktionsapp i Azure (vælg ikke indstillingen Avanceret)

   d. Angiv et globalt entydigt navn til funktionsappen: Skriv et navn, der er gyldigt i en URL-sti. Det navn, du skriver, valideres for at sikre, at det er entydigt i Azure Functions. (f.eks. ARMISXXXXXX).

   e. Vælg en kørsel: Vælg Python 3.11

   f. Vælg en placering til nye ressourcer. Hvis du vil have bedre ydeevne og lavere omkostninger, skal du vælge det samme område, hvor Microsoft Sentinel er placeret.

6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.

7. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.

8. Konfigurer funktionsappen

9. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.

10. Under fanen Programindstillinger skal du vælge + Ny programindstilling.

11. Tilføj hver af følgende programindstillinger individuelt med deres respektive værdier (forskel på store og små bogstaver): Arbejdsområde-id-nøgle armis url-adresse til hemmelige nøgler (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure klient-id Azure klienthemmelighedslejer-id logAnalyticsUri (valgfrit)

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

4. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:DEFEND Ltd.

Atlassian Beacon er et cloudprodukt, der er bygget til intelligent trusselsregistrering på tværs af Atlassian-platformene (Jira, Confluence og Atlassian Administration). Dette kan hjælpe brugerne med at registrere, undersøge og reagere på risikable brugeraktivitet for den atlassiske produktpakke. Løsningen er en brugerdefineret dataconnector fra DEFEND Ltd., der bruges til at visualisere de beskeder, der indtages fra Atlassian Beacon for at Microsoft Sentinel via en Logic App.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Installationsvejledning:

1. Microsoft Sentinel

1. Naviger til den nyinstallerede Logic App 'Atlassian Beacon Integration'

2. Gå til 'Logic App Designer'

3. Udvid 'Når en HTTP-anmodning modtages'

4. Kopiér URL-adressen til HTTP POST

2. Atlassisk beacon

1. Log på Atlassian Beacon ved hjælp af en administratorkonto

2. Naviger til 'SIEM-videresendelse' under INDSTILLINGER

3. Indsæt den kopierede URL-adresse fra Logic App i tekstfeltet

4. Klik på knappen 'Gem'

3. Test og validering

1. Log på Atlassian Beacon ved hjælp af en administratorkonto

2. Naviger til 'SIEM-videresendelse' under INDSTILLINGER

3. Klik på knappen 'Test' lige ved siden af den nyligt konfigurerede webhook

4. Gå til Microsoft Sentinel

5. Naviger til den nyinstallerede Logic App

6. Kontrollér, om Logic App kører under 'Kørselshistorik'

7. Kontrollér, om der er logge under tabelnavnet 'atlassian_beacon_alerts_CL' i 'Logs'

8. Hvis analysereglen er blevet aktiveret, skulle ovenstående testadvarsel have oprettet en hændelse i Microsoft Sentinel

Understøttet af:Microsoft Corporation

Connectoren Atlassian Confluence Audit data giver mulighed for at indfødning af Confluence Audit Records-hændelser i Microsoft Sentinel via REST-API'en. Du kan finde flere oplysninger i API-dokumentationen . Connectoren gør det muligt at hente hændelser for at vurdere potentielle sikkerhedsrisici, overvåge samarbejde og diagnosticere og foretage fejlfinding af konfigurationsproblemer.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Api-adgang til Atlassian Confluence: Der kræves tilladelse til at administrere confluence for at få adgang til API'en for Confluence Audit logs. Se dokumentationen til Confluence API for at få mere at vide om overvågnings-API'en.

Installationsvejledning:

Opret forbindelse til Atlassian Confluence API for at begynde at indsamle overvågningslogge i Microsoft Sentinel

Hvis du vil aktivere Connectoren Atlassian Confluence for Microsoft Sentinel, skal du klikke for at tilføje en organisation, udfylde formularen med legitimationsoplysningerne for confluence-miljøet og klikke for at oprette forbindelse. Følg disse trin for at oprette et API-token.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Atlassian Jira Audit-dataconnectoren giver mulighed for at indtage Jira Audit Records-hændelser i Microsoft Sentinel via REST-API'en. Du kan finde flere oplysninger i API-dokumentationen . Connectoren gør det muligt at hente hændelser for at vurdere potentielle sikkerhedsrisici, overvåge samarbejde og diagnosticere og foretage fejlfinding af konfigurationsproblemer.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• REST API Legitimationsoplysninger/tilladelser: JiraAccessToken, JiraUsername er påkrævet til REST API. Du kan få flere oplysninger under API. Kontrollér alle krav, og følg vejledningen for at hente legitimationsoplysninger.

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til Jira REST API'en for at trække loggene ind i Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

BEMÆRK! Denne dataconnector afhænger af en parser, der er baseret på en Kusto-funktion, for at fungere som forventet. Følg disse trin for at oprette aliasset for Kusto-funktioner, JiraAudit

TRIN 1 – Konfigurationstrin til Jira-API'en

Følg vejledningen for at hente legitimationsoplysningerne.

TRIN 2 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du udruller dataconnectoren til arbejdsområdet, skal du have arbejdsområde-id'et og den primære nøgle for arbejdsområdet (kan kopieres fra følgende).

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Brug denne metode til automatisk udrulning af Jira Audit-dataconnectoren ved hjælp af en ARM Tempate.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.msaka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

BEMÆRK: I den samme ressourcegruppe kan du ikke blande Windows- og Linux-apps i det samme område. Vælg en eksisterende ressourcegruppe uden Windows-apps, eller opret en ny ressourcegruppe. 3. Angiv JiraAccessToken, JiraUsername, JiraHomeSiteName (del af kort webstedsnavn, f.eks. HOMESITENAME fra https://community.atlassian.com), og installér. 4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor. 5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere Jira Audit-dataconnectoren manuelt med Azure Functions (udrulning via Visual Studio Code).

1. Udrul en funktionsapp

BEMÆRK: Du skal forberede VS Code til Azure funktionsudvikling.

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.

2. Start VS Code. Vælg Fil i hovedmenuen, og vælg Åbn mappe.

3. Vælg mappen på øverste niveau fra udpakkede filer.

4. Vælg ikonet Azure på linjen Aktivitet, og vælg derefter knappen Udrul for at fungere som app i området Azure: Funktioner. Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen og derefter i området Azure: Funktioner vælge Log på Azure Hvis du allerede er logget på, skal du gå til næste trin.

5. Angiv følgende oplysninger ved prompterne:

   a. Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.

   b. Vælg abonnement: Vælg det abonnement, der skal bruges.

   c. Vælg Opret ny funktionsapp i Azure (vælg ikke indstillingen Avanceret)

   d. Angiv et globalt entydigt navn til funktionsappen: Skriv et navn, der er gyldigt i en URL-sti. Det navn, du skriver, valideres for at sikre, at det er entydigt i Azure Functions. (f.eks. JiraAuditXXXXX).

   e. Vælg en kørsel: Vælg Python 3.11.

   f. Vælg en placering til nye ressourcer. Hvis du vil have bedre ydeevne og lavere omkostninger, skal du vælge det samme område, hvor Microsoft Sentinel er placeret.

6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.

7. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.

8. Konfigurer funktionsappen

9. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.

10. Vælg Indstillingen Nyt program under fanen Programindstillinger.

11. Tilføj hver af følgende programindstillinger individuelt med deres respektive strengværdier (forskel på store og små bogstaver): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (valgfrit)

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

3. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:Microsoft Corporation

Atlassian Jira Audit-dataconnectoren giver mulighed for at indtage Jira Audit Records-hændelser i Microsoft Sentinel via REST-API'en. Du kan finde flere oplysninger i API-dokumentationen . Connectoren gør det muligt at hente hændelser for at vurdere potentielle sikkerhedsrisici, overvåge samarbejde og diagnosticere og foretage fejlfinding af konfigurationsproblemer.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Adgang til Atlassian Jira-API: Der kræves tilladelse til administration af Jira for at få adgang til API'en til Jira-overvågningslogge. Se dokumentationen til Jira API for at få mere at vide om overvågnings-API'en.

Installationsvejledning:

Hvis du vil aktivere Atlassian Jira-connectoren for Microsoft Sentinel, skal du klikke for at tilføje en organisation, udfylde formularen med legitimationsoplysningerne til Jira-miljøet og klikke for at oprette forbindelse. Følg disse trin for at oprette et API-token.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Med Auth0-dataconnectoren kan du overføre logge fra Auth0 API til Microsoft Sentinel. Dataconnectoren er baseret på Microsoft Sentinel Codeless Connector Framework. Den bruger Auth0 API til at hente logge, og den understøtter DCR-baserede transformationer af indtagelsestid , der fortolker de modtagne sikkerhedsdata i en brugerdefineret tabel, så forespørgsler ikke behøver at fortolke dem igen, hvilket resulterer i en bedre ydeevne.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

TRIN 1 – Konfigurationstrin for Godkendelses-API'en

Følg vejledningen for at hente legitimationsoplysningerne.

1. I Auth0 Dashboard skal du gå til [Programmer>]
2. Vælg dit program. Dette skal være et [Computer-til-Computer]-program, der er konfigureret med tilladelserne [read:logs] og [read:logs_users].
3. Kopiér [domæne, klient-id, klienthemmelighed]

• URL-adresse til grundlæggende API: (https://example.auth0.com)
• Klient-id: (klient-id)
• Klienthemmelighed: (API-token)
• Aktivér/deaktiver forbindelse

Understøttet af:Microsoft Corporation

Du kan streame overvågningslogfilerne fra WebCTRL SQL-serveren, der hostes på Windows-computere, som er forbundet med din Microsoft Sentinel. Denne forbindelse giver dig mulighed for at få vist dashboards, oprette brugerdefinerede beskeder og forbedre undersøgelsen. Dette giver indsigt i dine industrielle kontrolsystemer, der overvåges eller styres af WebCTRL BAS-programmet.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

1. Installér og onboarder Microsoft-agenten til Windows.

Få mere at vide om onboarding af agentkonfiguration og Windows-hændelser.

Du kan springe dette trin over, hvis du allerede har installeret Microsoft Agent til Windows

2. Konfigurer Windows-opgave til at læse overvågningsdataene og skrive dem til Windows-hændelser

Installér og konfigurer den planlagte Windows-opgave for at læse overvågningslogfilerne i SQL og skrive dem som Windows-hændelser. Disse Windows-hændelser indsamles af agenten og videresendes til Microsoft Sentinel.

Bemærk, at dataene fra alle maskiner gemmes i det valgte arbejdsområde

2.1 Kopiér installationsfilerne til en placering på serveren.

2.2 Opdater scriptparametrene forALC-WebCTRL-AuditPull.ps1 (kopieret i ovenstående trin), f.eks. destinationsdatabasenavnet og Windows-hændelses-id'er. Se kommentarer i scriptet for at få flere oplysninger.

2.3 Opdater Windows-opgaveindstillingerne i den ALC-WebCTRL-AuditPullTaskConfig.xml fil, der blev kopieret i ovenstående trin i henhold til krav. Se kommentarer i filen for at få flere oplysninger.

2.4 Installér Windows-opgaver ved hjælp af de opdaterede konfigurationer, der er kopieret i ovenstående trin

• Kør følgende kommando i powershell fra den mappe, hvor installationsfilerne kopieres i trin 2.1: <variabelværdi, der angives på installationstidspunktet>

3. Valider forbindelsen

Følg vejledningen for at validere forbindelsen:

Åbn Log Analytics for at kontrollere, om loggene modtages ved hjælp af hændelsesskemaet.

Det kan tage ca. 20 minutter, før forbindelsen streamer data til dit arbejdsområde.

Hvis loggene ikke modtages, skal du validere nedenstående trin for problemer med kørselstid:

1. Sørg for, at den planlagte opgave er oprettet og kører i Windows Opgavestyring.

2. Kontrollér, om der er fejl i udførelsen af opgaver under fanen Oversigt i Windows Opgavestyring for den nyoprettede opgave i trin 2.4

3. Sørg for, at SQL-overvågningstabellen består af nye poster, mens den planlagte Windows-opgave kører.

Understøttet af:Microsoft Corporation

AWS EKS-dataconnectoren giver mulighed for at overføre overvågningslogge fra Amazon Elastic Kubernetes Service til Microsoft Sentinel. Denne connector fokuserer på EKS-overvågningslogge (JSON-format), som indeholder detaljerede oplysninger om API-serveranmodninger, godkendelsesbeslutninger og klyngeaktiviteter. Connectoren bruger AWS SQS til at modtage meddelelser, når nye overvågningslogfiler eksporteres til S3, og sikrer sikkerhedsovervågning i realtid og sporing af overholdelse af angivne standarder for dine Kubernetes-klynger.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Installationsvejledning:

1. Installation af AWS CloudFormation

Brug de angivne CloudFormation-skabeloner til at konfigurere AWS-miljøet til at sende logge fra AWS EKS til dit Log Analytics-arbejdsområde.

Udrul cloudformationsskabeloner i AWS:

1. Gå til AWS CloudFormation Stacks.
2. Klik på Opret stak, og vælg Med nye ressourcer.
3. Vælg Upload en skabelonfil, og klik derefter på Vælg fil for at uploade den relevante CloudFormation-skabelon (Skabelon 1 og 2 nedenfor) angivet.
4. Følg prompterne, og klik på Næste for at fuldføre stakoprettelsen.
5. Når stakkene er oprettet, kan du navigere til afsnittet Output . Kør scriptene i trin 1 og 2 fra outputafsnittet. Det streamer log fra eks til kvm.
6. I afsnittet med output kan du se url-adressen til rolle-ARN og SQS-køen , som skal bruges i forbindelsesconnectoren.

• Skabelon 1: Installation af OpenID Connect-godkendelsesprovider: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWS EKS-ressourcer: <variabelværdi angivet på installationstidspunktet>

2. Tilslut nye samlere

Hvis du vil aktivere AWS Security Hub Connector til Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de påkrævede oplysninger i kontekstruden og klikke på Opret forbindelse.

• SentinelRoleArn: (AWS IAM Role ARN til adgang på tværs af konti (f.eks. arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (Den fulde URL-adresse til AWS EKS-køen (f.eks. https://sqs.region.amazonaws.com/account-id/queue-name))

3. Opret forbindelse

Aktivér AWS EKS-connectoren.

• Aktivér/deaktiver forbindelse

Understøttet af:Microsoft Corporation

Med denne connector kan du overføre AWS S3-serveradgangslogfiler til Microsoft Sentinel. Disse logge indeholder detaljerede poster for anmodninger, der er foretaget til S3-buckets, herunder anmodningstype, ressourcetilgås, oplysninger om anmoder og svaroplysninger. Disse logge er nyttige til at analysere adgangsmønstre, foretage fejlfindingsproblemer og sikre overholdelse af sikkerhed.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Miljø: Du skal have defineret og konfigureret følgende AWS-ressourcer: S3 Bucket, SQS (Simple Queue Service), IAM-roller og tilladelsespolitikker.

Installationsvejledning:

1. Udrulning af AWS CloudFormation Hvis du vil konfigurere adgang på AWS, er der oprettet to skabeloner for at konfigurere AWS-miljøet til at sende logge fra en AWS S3 Server Access-logfil til dit Log Analytics-arbejdsområde.

Udrul cloudformationsskabeloner i AWS:

1. Gå til AWS CloudFormation Stacks.
2. Klik på Opret stak, og vælg Med nye ressourcer.
3. Vælg Upload en skabelonfil, og klik derefter på Vælg fil for at uploade den relevante CloudFormation-skabelon, der er angivet.
4. Følg prompterne, og klik på Næste for at fuldføre stakoprettelsen.
5. Når stakkene er oprettet, skal du notere URL-adressen til Rolle ARN- og SQS-kø.

• Skabelon 1: Installation af OpenID Connect-godkendelsesprovider: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWS Server Access-ressourcer: <variabelværdi angivet på installationstidspunktet>

2. Opret forbindelse til nye samlere Hvis du vil aktivere AWS S3 Server Access Logs Connector til Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de påkrævede oplysninger i kontekstruden og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Denne connector muliggør indtagelse af AWS Security Hub Findings, som indsamles i AWS S3-buckets, i Microsoft Sentinel. Det hjælper med at strømline processen med at overvåge og administrere sikkerhedsbeskeder ved at integrere AWS Security Hub-resultater med Microsoft Sentinel avancerede funktionalitet til trusselsregistrering og svar.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Miljø: Du skal have defineret og konfigureret følgende AWS-ressourcer: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, SQS (Simple Queue Service), IAM-roller og tilladelsespolitikker.

Installationsvejledning:

1. AWS CloudFormation Deployment Brug de angivne CloudFormation-skabeloner til at konfigurere AWS-miljøet til afsendelse af logge fra AWS Security Hub til dit Log Analytics Workspace.

Udrul cloudformationsskabeloner i AWS:

1. Gå til AWS CloudFormation Stacks.
2. Klik på Opret stak, og vælg Med nye ressourcer.
3. Vælg Upload en skabelonfil, og klik derefter på Vælg fil for at uploade den relevante CloudFormation-skabelon, der er angivet.
4. Følg prompterne, og klik på Næste for at fuldføre stakoprettelsen.
5. Når stakkene er oprettet, skal du notere URL-adressen til Rolle ARN- og SQS-kø.

• Skabelon 1: Installation af OpenID Connect-godkendelsesprovider: <Variabelværdi angivet på installationstidspunktet>
• Skabelon 2: Installation af AWS Security Hub-ressourcer: <variabel værdi angivet på installationstidspunktet>

2. Forbind nye samlere Hvis du vil aktivere AWS Security Hub Connector til Microsoft Sentinel, skal du klikke på knappen Tilføj ny samler, udfylde de påkrævede oplysninger i kontekstruden og klikke på Opret forbindelse.

• Dataconnectors Grid (konfigurer i portalen)

Understøttet af:Microsoft Corporation

Azure Aktivitetslog er en abonnementslog, der giver indsigt i hændelser på abonnementsniveau, der opstår i Azure, herunder hændelser fra Azure Resource Manager driftsdata, tjenestetilstandshændelser, skrivehandlinger, der udføres på ressourcerne i dit abonnement, og status for aktiviteter, der udføres i Azure. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel .

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Understøttet af:Microsoft Corporation

Azure Batch Konto er en entydigt identificeret enhed i batchtjenesten. De fleste batchløsninger bruger Azure Lager til lagring af ressourcefiler og outputfiler, så hver Batch-konto er normalt knyttet til en tilsvarende lagerkonto. Med denne connector kan du streame dine Azure Batch-kontodiagnosticeringslogge til Microsoft Sentinel, hvilket giver dig mulighed for løbende at overvåge aktivitet. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind diagnosticeringslogfilerne for din Azure Batch-konto med Sentinel.

Denne connector bruger Azure politik til at anvende en enkelt konfiguration af logstreaming af en Azure Batch-konto på en samling af instanser, der er defineret som et område. Følg vejledningen nedenfor for at oprette og anvende en politik på alle aktuelle og fremtidige forekomster. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogfiler fra din Azure Batch-konto i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Palo Alto Networks

Cloud Next-Generation Firewall fra Palo Alto Networks – en Azure oprindelig ISV-tjeneste – er Palo Alto Networks NGFW (Next-Generation Firewall), der leveres som en cloudbaseret tjeneste på Azure. Du kan finde Cloud NGFW på Azure Marketplace og bruge det i dine VNet (Azure Virtual Networks). Med Cloud NGFW kan du få adgang til kernefunktionerne i NGFW, f.eks. App-ID, URL-filtreringsbaserede teknologier. Den leverer trusselsforebyggelse og -opdagelse via cloud-leverede sikkerhedstjenester og signaturer til trusselsforebyggelse. Connectoren giver dig mulighed for nemt at forbinde dine Cloud NGFW-logge med Microsoft Sentinel, få vist dashboards, oprette brugerdefinerede beskeder og forbedre undersøgelsen. Dette giver dig mere indsigt i organisationens netværk og forbedrer dine funktioner til sikkerhedshandlinger. Du kan få flere oplysninger i dokumentationen til Cloud NGFW for Azure.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Installationsvejledning:

Forbind Cloud NGFW fra Palo Alto Networks med Microsoft Sentinel

Aktivér logindstillinger på alle cloud-NGFWs fra Palo Alto Networks.

Inde i din Cloud NGFW-ressource:

1. Gå til Logindstillinger fra startsiden.
2. Kontrollér, at afkrydsningsfeltet Aktivér logindstillinger er markeret.
3. Vælg det ønskede Log Analytics-arbejdsområde på rullelisten Logindstillinger .
4. Bekræft dine valg og konfigurationer.
5. Klik på Gem for at anvende indstillingerne.

Understøttet af:Microsoft Corporation

Azure Cognitive Search er en cloudsøgetjeneste, der giver udviklere infrastruktur, API'er og værktøjer til at skabe en omfattende søgeoplevelse i forhold til privat, heterogent indhold i web-, mobil- og virksomhedsprogrammer. Med denne connector kan du streame dine Azure cognitive Search-diagnosticeringslogge til Microsoft Sentinel, hvilket giver dig mulighed for løbende at overvåge aktivitet.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind dine diagnosticeringslogge for Azure Cognitive Search til Sentinel.

Denne connector bruger Azure politik til at anvende en enkelt Azure logstreamingkonfiguration for Cognitive Search på en samling af instanser, der er defineret som et område. Følg vejledningen nedenfor for at oprette og anvende en politik på alle aktuelle og fremtidige forekomster. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogfiler fra din Azure Cognitive Search i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Microsoft Corporation

Opret forbindelse til Azure DDoS Protection-Standard logge via diagnosticeringslogge for offentlig IP-adresse. Ud over den centrale DDoS-beskyttelse på platformen leverer Azure DDoS Protection Standard avancerede DDoS-afhjælpningsfunktioner mod netværksangreb. Den justeres automatisk for at beskytte dine specifikke Azure ressourcer. Det er nemt at aktivere beskyttelse under oprettelsen af nye virtuelle netværk. Det kan også gøres efter oprettelsen og kræver ingen program- eller ressourceændringer. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Understøttet af:Microsoft Corporation

Med dataconnectoren Azure DevOps Audit Logs kan du overføre overvågningshændelser fra Azure DevOps til Microsoft Sentinel. Denne dataconnector er bygget ved hjælp af Microsoft Sentinel Codeless Connector Framework, der sikrer problemfri integration. Den udnytter api'en Azure DevOps-overvågningslogge til at hente detaljerede overvågningshændelser og understøtter DCR-baserede transformationer af indtagelsestid. Disse transformationer muliggør fortolkning af de modtagne overvågningsdata i en brugerdefineret tabel under indtagelse, hvilket forbedrer forespørgslens ydeevne ved at fjerne behovet for yderligere fortolkning. Ved hjælp af denne connector kan du få forbedret synlighed i dit Azure DevOps-miljø og strømline dine sikkerhedshandlinger.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Azure DevOps-forudsætning: Kontrollér følgende:
  1. Registrer en Entra-app i Microsoft Entra Administration Center under Appregistreringer.
  2. I 'API-tilladelser' – føj tilladelser til 'Azure DevOps - vso.auditlog'.
  3. I 'Certifikater & hemmeligheder' – generér 'Klienthemmelighed'.
  4. I 'Godkendelse' – tilføj omdirigerings-URI'en nedenfor i det tilsvarende felt.
  5. I indstillingerne for Azure DevOps skal du aktivere overvågningsloggen og angive Vis overvågningslog for brugeren. Azure DevOps Auditing.
  6. Sørg for, at den bruger, der er tildelt til at oprette forbindelse til dataconnectoren, eksplicit har tilladelsen Vis overvågningslogge angivet til Tillad til enhver tid. Denne tilladelse er afgørende for en vellykket logindtagelse. Hvis tilladelsen tilbagekaldes eller ikke tildeles, mislykkes dataindtagelse eller afbrydes.

Installationsvejledning:

**Opret forbindelse til Azure DevOps for at begynde at indsamle overvågningslogge i Microsoft Sentinel. **

1. Angiv den app, du har registreret.
2. Kopiér program-id'et (klient)-id'et i afsnittet 'Oversigt'.
3. Vælg knappen 'Slutpunkter', og kopiér værdien 'OAuth 2.0 authorization endpoint (v2)' og værdien 'OAuth 2.0 token endpoint (v2)'.
4. I afsnittet 'Certifikater & hemmeligheder' skal du kopiere værdien 'Værdi for klienthemmelighed', og gemme den sikkert.
5. Angiv de nødvendige oplysninger nedenfor, og klik på 'Opret forbindelse'.

• Tokenslutpunkt: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Autorisationsslutpunkt: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• API-slutpunkt: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

Understøttet af:Microsoft Corporation

Azure Event Hubs er en big data-streamingplatform og hændelsesindtagelsestjeneste. Den kan modtage og behandle millioner af hændelser pr. sekund. Med denne connector kan du streame dine Azure Event Hub-diagnosticeringslogge til Microsoft Sentinel, hvilket giver dig mulighed for løbende at overvåge aktivitet.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind dine Azure Event Hub-diagnosticeringslogge med Sentinel.

Denne connector bruger Azure politik til at anvende en enkelt Azure Log-streaming-konfiguration af Event Hub på en samling af instanser, der er defineret som et område. Følg vejledningen nedenfor for at oprette og anvende en politik på alle aktuelle og fremtidige forekomster. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogge fra din Azure Event Hub i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Microsoft Corporation

Opret forbindelse til Azure Firewall. Azure Firewall er en administreret, cloudbaseret netværkssikkerhedstjeneste, der beskytter dine Azure Virtual Network ressourcer. Det er en firewall med fuld tilstand som en tjeneste med indbygget høj tilgængelighed og ubegrænset cloudskalerbarhed. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Understøttet af:Microsoft Corporation

Azure Key Vault er en cloudtjeneste til sikker lagring og adgang til hemmeligheder. En hemmelighed er alt, hvad du vil have tæt kontrol over adgangen til, f.eks. API-nøgler, adgangskoder, certifikater eller kryptografiske nøgler. Med denne connector kan du streame dine Azure Key Vault diagnosticeringslogge til Microsoft Sentinel, så du løbende kan overvåge aktivitet i alle dine instanser. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Understøttet af:Microsoft Corporation

Azure Kubernetes Service (AKS) er en fuldt administreret objektbeholderorkestreringstjeneste med åben kildekode, der giver dig mulighed for at udrulle, skalere og administrere Docker-objektbeholdere og objektbeholderbaserede programmer i et klyngemiljø. Med denne connector kan du streame dine AKS-diagnosticeringslogge (Azure Kubernetes Service) til Microsoft Sentinel, så du løbende kan overvåge aktiviteter i alle dine instanser. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Understøttet af:Microsoft Corporation

Azure Logic Apps er en cloudbaseret platform til oprettelse og kørsel af automatiserede arbejdsprocesser, der integrerer dine apps, data, tjenester og systemer. Med denne connector kan du streame dine Azure Logic Apps-diagnosticeringslogge til Microsoft Sentinel, hvilket giver dig mulighed for løbende at overvåge aktivitet.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind dine Logic Apps-diagnosticeringslogge med Sentinel.

Denne connector bruger Azure politik til at anvende en enkelt Azure Log-streaming-konfiguration af Logic Apps på en samling af instanser, der er defineret som et omfang. Følg vejledningen nedenfor for at oprette og anvende en politik på alle aktuelle og fremtidige forekomster. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogfiler fra dine Azure Logic Apps i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Microsoft Corporation

Azure Resource Graph connector giver bedre indsigt i Azure hændelser ved at supplere detaljer om Azure abonnementer og Azure ressourcer.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolletilladelse til Azure abonnementer

Installationsvejledning:

Opret forbindelse mellem Azure Resource Graph og Microsoft Sentinel

Understøttet af:Microsoft Corporation

Azure Service Bus er en fuldt administreret virksomhedsmeddelelsesmægler med meddelelseskøer og emner, der abonneres på (i et navneområde). Med denne connector kan du streame dine Azure Service Bus diagnosticeringslogge til Microsoft Sentinel, så du løbende kan overvåge aktivitet.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind dine Azure Service Bus diagnosticeringslogge med Sentinel.

Denne connector bruger Azure politik til at anvende en enkelt Azure Service Bus logstreamingkonfiguration på en samling af instanser, der er defineret som et område. Følg vejledningen nedenfor for at oprette og anvende en politik på alle aktuelle og fremtidige forekomster. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogfiler fra din Azure Service Bus i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Microsoft Corporation

Azure SQL er et fuldt administreret PaaS-databaseprogram (Platform-as-a-Service), der håndterer de fleste databaseadministrationsfunktioner, f.eks. opgradering, programrettelser, sikkerhedskopier og overvågning, uden at det er nødvendigt at inddrage brugeren. Med denne connector kan du streame dine Azure SQL databaser til Microsoft Sentinel, så du løbende kan overvåge aktiviteter i alle dine instanser.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Understøttet af:Microsoft Corporation

Azure Storage-konto er en cloudløsning til moderne scenarier for datalagring. Den indeholder alle dine dataobjekter: blobs, filer, køer, tabeller og diske. Med denne connector kan du streame Azure lagerkontodiagnosticeringslogge til dit Microsoft Sentinel arbejdsområde, hvilket giver dig mulighed for løbende at overvåge aktiviteter i alle dine instanser og registrere skadelig aktivitet i din organisation. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind diagnosticeringslogfilerne for din Azure lagerkonto med Sentinel.

Denne connector bruger et sæt Azure politikker til at anvende en logstreamingkonfiguration på en samling af instanser, der er defineret som et område. Følg vejledningen nedenfor for at oprette og anvende politikker på alle aktuelle og fremtidige forekomster. Hvis du vil have mest muligt ud af logføring af lagerkontodiagnosticering fra Azure Lagerkonto, anbefaler vi, at du aktiverer logføring af diagnosticering fra alle tjenester i Azure Lagerkonto – Blob, Kø, Tabel og Fil. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogfiler fra din Azure Lagerkonto i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Stream diagnosticeringslogfiler fra Azure Storage Blob Service i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Stream diagnosticeringslogfiler fra tjenesten Azure Storage Queue i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Stream diagnosticeringslogfiler fra tjenesten Azure Lagertabel i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Stream diagnosticeringslogfiler fra tjenesten Azure Storage File i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Microsoft Corporation

Azure Stream Analytics er et analyseprogram i realtid og et komplekst program til hændelsesbehandling, der er designet til at analysere og behandle store mængder data til hurtig streaming fra flere kilder samtidigt. Med denne connector kan du streame dine diagnosticeringslogge for Azure Stream Analytics-hub til Microsoft Sentinel, hvilket giver dig mulighed for løbende at overvåge aktivitet.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Politik: Ejerrolle tildelt for hvert område for politiktildelinger

Installationsvejledning:

Forbind dine Azure Stream Analytics-diagnosticeringslogge med Sentinel.

Denne connector bruger Azure politik til at anvende en enkelt Azure Stream Analytics-logstreamingkonfiguration på en samling af instanser, der er defineret som et område. Følg vejledningen nedenfor for at oprette og anvende en politik på alle aktuelle og fremtidige forekomster. Bemærk, at du muligvis allerede har en aktiv politik for denne ressourcetype.

Stream diagnosticeringslogge fra din Azure Stream Analytics i stor skala

**Start guiden Azure politiktildeling, og følg trinnene. **

1. På fanen Grundlæggende skal du klikke på knappen med de tre prikker under Område for at vælge dit abonnement.
2. Under fanen Parametre skal du vælge dit Microsoft Sentinel arbejdsområde på rullelisten Log Analytics-arbejdsområde og lade være markeret som "Sand" for alle de logkategorier, du vil overføre.
3. Hvis du vil anvende politikken på dine eksisterende ressourcer, skal du markere afkrydsningsfeltet Opret en afhjælpningsopgave under fanen Afhjælpning .

Understøttet af:Microsoft Corporation

Opret forbindelse til Azure WAF (Web Application Firewall) for Application Gateway, Front Door eller CDN. Denne WAF beskytter dine programmer mod almindelige websårbarheder, f.eks. SQL-injektion og scripting på tværs af websteder, og giver dig mulighed for at tilpasse regler for at reducere falske positiver. Instruktioner til, hvordan du streamer firewalllogge for Microsoft-webprogram i Microsoft Sentinel vises under installationsprocessen. Du kan få flere oplysninger i dokumentationen til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Understøttes af:Better Mobile Security Inc.

Better MTD Connector giver virksomheder mulighed for at forbinde deres bedre MTD-forekomster med Microsoft Sentinel, få vist deres data i Dashboards, oprette brugerdefinerede beskeder, bruge den til at udløse playbooks og udvide mulighederne for trusselsjagt. Dette giver brugerne mere indsigt i deres organisations mobilenheder og mulighed for hurtigt at analysere den aktuelle mobile sikkerhedsholdning, hvilket forbedrer deres overordnede SecOps-funktioner.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Installationsvejledning:

1. Klik på Integration på sidepanelet i Bedre MTD-konsol .
2. Vælg fanen Andre .
3. Klik på knappen TILFØJ KONTO, og vælg Microsoft Sentinel fra de tilgængelige integrationer.
4. Opret integrationen:

• indstillet ACCOUNT NAME til et beskrivende navn, der identificerer integrationen, og klik derefter på Næste
• Angiv dit WORKSPACE ID og PRIMARY KEY fra nedenstående felter, og klik på Gem
• Klik på Udført

5. Konfiguration af trusselspolitik (Hvilke hændelser skal rapporteres til Microsoft Sentinel):

• Klik på Politikker på sidepanelet i Bedre MTD-konsol
• Klik på knappen Rediger for den politik, du bruger.
• For hver hændelsestyper, du vil logføre, skal du gå til feltet Send til integrationer og vælge Sentinel

6. Du kan finde flere oplysninger i vores dokumentation.

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Understøttes af:BeyondTrust

BeyondTrust Privilege Management Cloud-dataconnectoren giver mulighed for at overføre aktivitetsovervågningslogge og klienthændelseslogge fra BeyondTrust PM Cloud til Microsoft Sentinel.

Denne connector bruger Azure Functions til at hente data fra BeyondTrust PM Cloud-API'en og overføre dem til brugerdefinerede Log Analytics-tabeller.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• BeyondTrust PM Cloud API-legitimationsoplysninger: BeyondTrust PM Cloud OAuth-klient-id og klienthemmelighed er påkrævet. API-kontoen kræver følgende tilladelser: Overvåg – Skrivebeskyttet og Rapportering – Skrivebeskyttet

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til BeyondTrust PM Cloud-API'en til at trække logge ind i Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

BEMÆRK: Denne connector bruger flowet med legitimationsoplysninger til OAuth 2.0-klienten til at godkende med BeyondTrust PM Cloud-API'en.

TRIN 1 – Få legitimationsoplysninger til BeyondTrust PM Cloud API

Opret en API-konto i din BeyondTrust PM Cloud-forekomst med OAuth API-legitimationsoplysninger (klient-id og klienthemmelighed). API-kontoen kræver følgende tilladelser:

• Overvågning - skrivebeskyttet
• Rapportering – skrivebeskyttet

TRIN 2 – Udrul connectoren og den tilknyttede Azure funktion

Brug denne metode til automatisk udrulning af BeyondTrust PM Cloud-dataconnectoren ved hjælp af en ARM-skabelon.

1. Klik på knappen Installer for at Azure nedenfor.

   portal.azure.com

2. Vælg det foretrukne abonnement, ressourcegruppen (skal indeholde dit Log Analytics-arbejdsområde) og Placering.

3. Angiv de påkrævede parametre:

   • Navn på arbejdsområde: Navnet på dit Log Analytics-arbejdsområde (f.eks. beyondtrust-pmcloud)
   • BeyondTrust PM URL-adresse til cloudbase: Din lejers URL-adresse (f.eks. https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust-klient-id: OAuth-klient-id fra trin 1
   • BeyondTrust-klienthemmelighed: OAuth-klienthemmelighed fra trin 1
   • Forespørgselsinterval for aktivitetsovervågninger: Hvor ofte der skal indsamles aktivitetsovervågninger (standard: 15 minutter)
   • Forespørgselsinterval for klienthændelser: Hvor ofte klienthændelser skal indsamles (standard: 5 minutter)
   • Logniveau: Logføringsniveau til fejlfinding (standard: Oplysninger)
   • Tidsramme for historiske data: Hvor langt tilbage der skal indsamles data ved første kørsel (standard: 1 dag)

4. Gennemse avancerede indstillinger (Hosting Plan SKU, Lagerkontotype), og juster, hvis det er nødvendigt.

5. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor.

6. Klik på Køb for at installere.

7. Udrulningen opretter alle nødvendige ressourcer: Funktionsapp, Lagerkonto, Slutpunkt for dataindsamling, Regler for dataindsamling og brugerdefinerede Log Analytics-tabeller.

8. Data skal begynde at flyde inden for 15-30 minutter efter udrulningen.

Understøttet af:BigID

BigID-dataconnectoren DSPM giver mulighed for at overføre BigID DSPM tilfælde med berørte objekter og datakildeoplysninger til Microsoft Sentinel.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• BigID DSPM API-adgang: Adgang til BigID-DSPM API'en via et BigID-token er påkrævet.

Installationsvejledning:

Opret forbindelse til BigID DSPM API for at begynde at indsamle BigID DSPM sager og berørte objekter i Microsoft Sentinel

Angiv dit BigID-domænenavn, f.eks. 'customer.bigid.cloud' og dit BigID-token. Opret et token i BigID-konsollen via Indstillinger –> Adgangsstyring –> Brugere –> Vælg bruger, og generér et token.

• BigID FQDN: (BigID FQDN)
• BigID-token: (BigID-token)
• Aktivér/deaktiver forbindelse

Understøttet af:Microsoft Corporation

Bitglass-dataconnectoren giver mulighed for at hente logfiler for sikkerhedshændelser for Bitglas-tjenesterne og flere hændelser til Microsoft Sentinel via REST-API'en. Connectoren gør det muligt at hente hændelser for at vurdere potentielle sikkerhedsrisici, overvåge samarbejde og diagnosticere og foretage fejlfinding af konfigurationsproblemer.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• REST API Legitimationsoplysninger/tilladelser: BitglassToken og BitglassServiceURL er påkrævet for at foretage API-kald.

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til API'en for Azure Blob Storage til at trække logge til Microsoft Sentinel. Dette kan medføre ekstra omkostninger til dataindtagelse og lagring af data i Azure Blob Storage omkostninger. Se siden med Azure Functions priser og siden med Azure Blob Storage priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

BEMÆRK: Denne dataconnector afhænger af en parser, der er baseret på en Kusto-funktion, for at fungere som forventet Bitglas, som udrulles med Microsoft Sentinel-løsningen.

TRIN 1 – Konfigurationstrin for API'en til hentning af bitglaslog

Følg vejledningen for at hente legitimationsoplysningerne.

1. Kontakt Bitglass-support, og få BitglassToken- og BitglassServiceURL-ntationen].
2. Gem legitimationsoplysninger til brug i dataconnectoren.

TRIN 2 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du installerer Bitglass-dataconnectoren, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende).

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Brug denne metode til automatisk udrulning af Bitglass-dataconnectoren ved hjælp af en ARM-skabelon.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

BEMÆRK: I den samme ressourcegruppe kan du ikke blande Windows- og Linux-apps i det samme område. Vælg en eksisterende ressourcegruppe uden Windows-apps, eller opret en ny ressourcegruppe. 3. Angiv BitglassToken, BitglassServiceURL og installér. 4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor. 5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere Bitglass-dataconnectoren manuelt med Azure Functions (udrulning via Visual Studio Code).

1. Udrul en funktionsapp

BEMÆRK: Du skal forberede VS Code til Azure funktionsudvikling.

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.

2. Start VS Code. Vælg Fil i hovedmenuen, og vælg Åbn mappe.

3. Vælg mappen på øverste niveau fra udpakkede filer.

4. Vælg ikonet Azure på linjen Aktivitet, og vælg derefter knappen Udrul for at fungere som app i området Azure: Funktioner. Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen og derefter i området Azure: Funktioner vælge Log på Azure Hvis du allerede er logget på, skal du gå til næste trin.

5. Angiv følgende oplysninger ved prompterne:

   a. Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.

   b. Vælg abonnement: Vælg det abonnement, der skal bruges.

   c. Vælg Opret ny funktionsapp i Azure (vælg ikke indstillingen Avanceret)

   d. Angiv et globalt entydigt navn til funktionsappen: Skriv et navn, der er gyldigt i en URL-sti. Det navn, du skriver, valideres for at sikre, at det er entydigt i Azure Functions. (f.eks. BitglassXXXXXX).

   e. Vælg en kørsel: Vælg Python 3.11.

   f. Vælg en placering til nye ressourcer. Hvis du vil have bedre ydeevne og lavere omkostninger, skal du vælge det samme område, hvor Microsoft Sentinel er placeret.

6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.

7. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.

8. Konfigurer funktionsappen

9. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.

10. Vælg Indstillingen Nyt program under fanen Programindstillinger.

11. Tilføj hver af følgende programindstillinger enkeltvist med deres respektive strengværdier (forskel på store og små bogstaver): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (valgfrit)

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

4. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:Bitwarden Inc.

Denne connector giver indsigt i aktiviteter i din Bitwarden-organisation, f.eks. brugerens aktivitet (logget på, ændret adgangskode, 2fa osv.), krypteringsaktivitet (oprettet, opdateret, slettet, delt osv.), indsamlingsaktivitet, organisationsaktivitet og meget mere.

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Bitwarden-klient-id og klienthemmelighed: Din API-nøgle findes i Bitwarden-organisationsadministrationskonsollen. Du kan få flere oplysninger i Dokumentationen til Bitwarden .

Installationsvejledning:

Forbind Bitwarden-hændelseslogge med Microsoft Sentinel

Du kan finde din API-nøgle i Bitwarden-organisationsadministrationskonsollen. Du kan få flere oplysninger i Dokumentationen til Bitwarden . Selv hostede Bitwarden-servere skal muligvis omkonfigurere URL-adressen til deres installation.

• URL-adresse til bitwarden-identitet: (https://identity.bitwarden.com)
• URL-adresse til Bitwarden-API: (https://api.bitwarden.com)

Understøttes af:blacklens.io Support

Den blacklens.io dataconnector giver dig mulighed for at indføde vigtige beskeder om administration af angrebsoverfladen fra blacklens.io til Microsoft Sentinel ved hjælp af en webhookbaseret Logic App og API'en Azure Monitor Logs Ingestion.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Azure abonnement: Tilladelser som bidragyder eller ejer for ressourcegruppen skal installere dataindtagelsesinfrastrukturen (slutpunkt for dataindsamling, regel for dataindsamling, brugerdefineret tabel og Logic App).
• blacklens.io konto: Der kræves en blacklens.io konto med webhook-integrationsfunktioner.

Installationsvejledning:

Trin 1 – Udrul dataindtagelsesinfrastrukturen

I dette trin installeres de nødvendige Azure ressourcer: et slutpunkt for dataindsamling, en regel for dataindsamling, en brugerdefineret Log Analytics-tabel (blacklens_CL) og en webhookudløst Logic App.

1. Klik på knappen Installer for at Azure nedenfor.

   portal.azure.com

2. Vælg det abonnement, den ressourcegruppe og den placering, hvor dit Microsoft Sentinel arbejdsområde er placeret.

3. Angiv navnet på arbejdsområdet for dit Log Analytics-arbejdsområde.

4. Klik på Gennemse + opret, og klik derefter på Opret.

Trin 2 – Kopiér URL-adressen til webhooket

1. Når installationen er fuldført, skal du klikke på fanen Output på installationssiden.
2. Kopiér værdien webhookUrl .

Du kan også navigere til Oversigt over Logic Apps >la-blacklens-alert-log-ingestion> og kopiere URL-adressen til arbejdsprocessen.

Trin 3 – Konfigurer blacklens.io

1. Log på blacklens.io-portalen.
2. Gå til indstillingerne for webhookintegration.
3. Indsæt den webhook-URL-adresse, der er kopieret i trin 2.
4. Gem konfigurationen.
5. Link webhookintegrationen til mindst én meddelelsespolitik , så der sendes beskeder til webhooket.

Efter et par minutter vises en testhændelse i Microsoft Sentinel.

Understøttet af:Microsoft Corporation

Box-dataconnectoren gør det muligt at indfødning af Box-virksomhedshændelser i Microsoft Sentinel ved hjælp af Box REST-API'en. Du kan finde flere oplysninger i dokumentationen til Box .

Log Analytics-tabel(r):

Understøttelse af regler for dataindsamling: Understøttes ikke i øjeblikket

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• Box API Credentials: Box config JSON-fil er påkrævet til Box REST API JWT-godkendelse. Du kan få flere oplysninger under JWT-godkendelse.

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til Box REST-API'en for at hente logge til Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.

BEMÆRK: Denne connector afhænger af en parser, der er baseret på Kusto-funktionen, for at fungere som forventet BoxEvents, der udrulles med Microsoft Sentinel-løsningen.

TRIN 1 – Konfiguration af samlingen Box-hændelser

Se dokumentationen for at konfigurere JWT-godkendelse og hente JSON-fil med legitimationsoplysninger.

TRIN 2 – Vælg EN blandt følgende to udrulningsindstillinger for at installere connectoren og den tilknyttede Azure funktion

VIGTIGT: Før du installerer dataconnectoren Box, skal du have arbejdsområde-id'et og arbejdsområdets primære nøgle (kan kopieres fra følgende) samt konfigurationsfilen Box JSON, der er tilgængelig.

• Arbejdsområde-id: <variabelværdi, der angives på installationstidspunktet>
• Primær nøgle: <variabelværdi angivet på installationstidspunktet>

Mulighed 1 – skabelonen Azure Resource Manager (ARM)

Brug denne metode til automatisk udrulning af Box-dataconnectoren ved hjælp af en ARM Tempate.

1. Klik på knappen Installer for at Azure nedenfor.

   aka.ms

2. Vælg det foretrukne abonnement, ressourcegruppe og placering.

3. Angiv AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

4. Markér afkrydsningsfeltet med mærkaten Jeg accepterer de vilkår og betingelser, der er angivet ovenfor.

5. Klik på Køb for at installere.

Mulighed 2 – Manuel installation af Azure Functions

Brug følgende trinvise instruktioner til at installere Box-dataconnectoren manuelt med Azure Functions (udrulning via Visual Studio Code).

Trin 1 – Udrul en funktionsapp

1. Download filen Azure Function App. Udtræk arkivet til din lokale udviklingscomputer.
2. Følg vejledningen til manuel installation af funktionsappen for at installere Azure Functions-appen ved hjælp af VSCode.
3. Når du har implementeret funktionsappen, skal du følge de næste trin for at konfigurere den.

Trin 2 – Konfigurer funktionsappen

1. Gå til Azure Portal for at få oplysninger om konfigurationen af funktionsappen.
2. I funktionsappen skal du vælge Navnet på funktionsappen og vælge Konfiguration.
3. Under fanen Programindstillinger skal du vælge + Ny programindstilling.
4. Tilføj hver af følgende programindstillinger individuelt med deres respektive strengværdier (forskel på store og små bogstaver): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (valgfrit)

• Brug logAnalyticsUri til at tilsidesætte loganalyse-API-slutpunktet for dedikeret sky. Lad f.eks. værdien være tom for offentlige cloudmiljøer. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

5. Når alle programindstillinger er angivet, skal du klikke på Gem.

Understøttet af:Microsoft Corporation

Box-dataconnectoren gør det muligt at indfødning af Box-virksomhedshændelser i Microsoft Sentinel ved hjælp af Box REST-API'en. Du kan finde flere oplysninger i dokumentationen til Box .

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Box API-legitimationsoplysninger: Box API kræver et Box App-klient-id og en klienthemmelighed for at godkende. Du kan få flere oplysninger under Tildeling af klientlegitimationsoplysninger
• Box Enterprise ID: Box Virksomheds-id er påkrævet for at oprette forbindelsen. Se dokumentationen for at finde virksomheds-id

Installationsvejledning:

BEMÆRK: Denne connector bruger CCF (Codeless Connecor Platform) til at oprette forbindelse til Box REST API'en for at trække logge ind i Microsoft Sentinel.

BEMÆRK: Denne connector afhænger af en parser, der er baseret på Kusto-funktionen, for at fungere som forventet BoxEvents, der udrulles med Microsoft Sentinel-løsningen.

TRIN 1 – Opret brugerdefineret feltprogram

Se dokumentationen for at konfigurere godkendelse af klientlegitimationsoplysninger

TRIN 2 – Grib værdier for klient-id og klienthemmelighed

Du skal muligvis konfigurere 2FA for at hente hemmeligheden.

TRIN 3 – Grab Box Enterprise-id fra Box Administration Console

Se dokumentationen for at finde virksomheds-id

Opret forbindelse til Box for at begynde at indsamle hændelseslogge for Microsoft Sentinel

Angiv de påkrævede værdier nedenfor:

• Feltvirksomheds-id: (123456)

Understøttes af:Kontrolpunkt

CloudGuard-dataconnectoren muliggør indtagelse af sikkerhedshændelser fra CloudGuard-API'en i Microsoft Sentinel ™ ved hjælp af Microsoft Sentinel Codeless Connector Framework. Connectoren understøtter DCR-baserede transformationer af indtagelsestid , som fortolker indgående data om sikkerhedshændelser i brugerdefinerede kolonner. Denne proces for fortolkning fjerner behovet for fortolkning af forespørgselstid, hvilket resulterer i forbedret ydeevne for dataforespørgsler.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• CloudGuard API-nøgle: Se vejledningen her for at generere en API-nøgle.

Installationsvejledning:

Forbind CloudGuard-sikkerhedshændelser med Microsoft Sentinel

Hvis du vil aktivere CloudGuard-connectoren til Microsoft Sentinel, skal du angive de påkrævede oplysninger nedenfor og vælge Opret forbindelse.

• API-nøgle-id: (api_key)
• API-nøglehemmelighed: (api_secret)
• URL-adresse til CloudGuard-slutpunkt: (f.eks. https://api.dome9.com)
• Filter: (Indsæt filter fra CloudGuard)
• Aktivér/deaktiver forbindelse

Understøttet af:Cyberint

Cyberint, der er en Check Point-virksomhed, leverer en Microsoft Sentinel integration for at strømline vigtige vigtige beskeder og bringe beriget trusselsintelligens fra Infinity External Risk Management-løsningen ind i Microsoft Sentinel. Dette forenkler processen med at spore status for billetter med automatiske synkroniseringsopdateringer på tværs af systemer. Ved hjælp af denne nye integration til Microsoft Sentinel kan eksisterende Cyberint- og Microsoft Sentinel-kunder nemt trække logge baseret på Cyberints resultater til Microsoft Sentinel platform.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Kontrollér Point Cyberint API-nøgle, Argos URL-adresse og kundenavn: Connector-API-nøglen, Argos URL-adressen og kundenavnet er påkrævet

Installationsvejledning:

Forbind Checkpoint Cyberint-beskeder med Microsoft Sentinel

Hvis du vil aktivere connectoren, skal du angive de påkrævede oplysninger nedenfor og klikke på Opret forbindelse.

Argos URL-adresse – Cyberint API URL-adresse til din lejer (f.eks. https://your_tenant.cyberint.io) API-token – Cyberint API-adgangstoken Kundenavn – Firmanavn (klient) knyttet til dine Cyberint-instansmiljøer – Kommasepareret liste over miljøer, der skal hentes. Hvis den er tom, hentes alle miljøer.\n\nAlvorsgrad – kommasepareret liste over de udsnit, der skal hentes (lav, mellem, høj, very_high). Hvis den er tom, hentes alle severities.\n\nForespørgselsinterval – hvor ofte der skal forespørges efter nye beskeder i minutter (standard: 5)\n\nMedtag CSV-vedhæftede filer som JSON – om CSV-vedhæftede filer skal medtages som JSON-indhold i beskeder (standard: falsk)

• URL-adresse til Argos: (https://your_tenant.cyberint.io)
• API-token: (Cyberint API-adgangstoken)
• Kundenavn: (Firmanavn (klient), der er knyttet til din Cyberint-instans)
• Miljøer: (kommasepareret liste (f.eks. produktion, midlertidig lagring))
• Alvorsgrad: (kommasepareret liste (f.eks. lav,mellem,høj,very_high))
• Forespørgselsinterval (minutter):(Pollingfrekvens i minutter)
• Medtag CSV-vedhæftede filer som JSON: (sand eller falsk)
• Aktivér/deaktiver forbindelse

Understøttet af:Cyberint

Cyberint, en Check Point-virksomhed, leverer en Microsoft Sentinel integration til indfødningsindikatorer for kompromiser (IOCs) fra Infinity External Risk Management-løsningen i Microsoft Sentinel. Denne connector henter automatisk det daglige IOC-feed – herunder skadelige IP-adresser, domæner, URL-adresser og filhashs – beriget med trusselskontekst, f.eks. alvorsgrad, tillid og registreret aktivitet.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Kontrollér Point Cyberint API-nøgle, Argos URL-adresse og kundenavn: Connector-API-nøglen, Argos URL-adressen og kundenavnet er påkrævet

Installationsvejledning:

Opret forbindelse Check Point Cyberint IOC Feed til Microsoft Sentinel

Hvis du vil aktivere connectoren, skal du angive de påkrævede oplysninger nedenfor og klikke på Opret forbindelse.

Argos URL-adresse – Cyberint API URL-adresse til din lejer (f.eks. https://your_tenant.cyberint.io) API-token – Cyberint API-adgangstoken Kundenavn – Firmanavn (klient) tilknyttet din Cyberint-instans

• URL-adresse til Argos: (https://your-company.cyberint.io)
• API-token: (API-token)
• Kundenavn: (Firmanavn (klient), der er knyttet til din Cyberint-instans)
• Aktivér/deaktiver forbindelse

Understøttet af:Microsoft Corporation

Cisco ASA firewall-connectoren giver dig mulighed for nemt at forbinde dine Cisco ASA-logge med Microsoft Sentinel, få vist dashboards, oprette brugerdefinerede beskeder og forbedre undersøgelsen. Dette giver dig mere indsigt i organisationens netværk og forbedrer dine funktioner til sikkerhedshandlinger.

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Hvis de vil indsamle data fra vm'er, der ikke er Azure, skal de have Azure Arc installeret og aktiveret. Få mere at vide

Installationsvejledning:

Aktivér regel for dataindsamling

Cisco ASA/FTD-hændelseslogge indsamles kun fra Linux agenter.

• Install Agent: <variabelværdi angivet på installationstidspunktet>

Kør følgende kommando for at installere og anvende Cisco ASA/FTD-samleren:

• Værdi: <variabelværdi, der angives på installationstidspunktet>

Understøttet af:Microsoft Corporation

Cisco Cloud Security-løsningen til Microsoft Sentinel giver dig mulighed for at indtage Cisco Secure Access- og CiscoUmbrella-logfiler, der er gemt i Amazon S3, i Microsoft Sentinel ved hjælp af Amazon S3 REST-API'en. Du kan finde flere oplysninger i dokumentationen til administration af Cisco Cloud Security-logfiler .

Log Analytics-tabel(r):

Understøttelse af regel for dataindsamling:DCR til transformering af arbejdsområde

Forudsætninger:

• Microsoft.Web/sites-tilladelser: Der kræves læse- og skrivetilladelser til Azure Functions til at oprette en Funktionsapp. Du kan få flere oplysninger under Azure Functions.
• Legitimationsoplysninger/tilladelser til Amazon S3 REST API: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name er påkrævet for Amazon S3 REST API.

Installationsvejledning:

BEMÆRK: Denne connector bruger Azure Functions til at oprette forbindelse til Amazon S3 REST API'en for at trække logge ind i Microsoft Sentinel. Dette kan medføre yderligere omkostninger til dataindtagelse. Se siden med Azure Functions priser for at få flere oplysninger.

BEMÆRK: Denne connector er blevet opdateret til at understøtte Cisco Cloud Security-logskemaversion 14.

(Valgfrit trin) Gem arbejdsområdet og API-godkendelsesnøglerne eller -tokenerne sikkert i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure Functions-app.

BEMÆRK! Denne connector bruger en parser, der er baseret på en Kusto-funktion, til at normalisere felter. Følg disse trin for at oprette Cisco_Umbrella kusto-funktionsaliaset.