Supportato da:1Password

Il connettore CCF 1Password consente all'utente di inserire gli eventi 1Password Audit, Signin & ItemUsage in Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• 1 Token APIPassword: è necessario un token API 1Password. Vedere la documentazione di 1Password su come creare un token API.

Istruzioni per l'installazione:

PASSAGGIO 1 - Creare un token API 1Password:

Per indicazioni su questo passaggio, seguire la documentazione di 1Password .

PASSAGGIO 2 - Scegliere l'URL di base corretto:

Esistono più server 1Password che potrebbero ospitare gli eventi. Il server corretto dipende dalla licenza e dall'area. Seguire la documentazione di 1Password per scegliere il server corretto. Immettere l'URL di base visualizzato dalla documentazione (incluso "https://" e senza un '/' finale.

PASSAGGIO 3 - Immettere 1Password Details:STEP 3 - Enter your 1Password Details:

Immettere l'URL di base 1Password & token API di seguito:

• URL di base: (immettere l'URL di base)
• Token API: (immettere il token API)
• Abilitare/disabilitare la connessione

Supportato da:1Password

La soluzione 1Password per Microsoft Sentinel consente di inserire i tentativi di accesso, l'utilizzo degli elementi e gli eventi di controllo dall'account 1Password Business usando l'API 1Password Events Reporting. In questo modo è possibile monitorare e analizzare gli eventi in 1Password in Microsoft Sentinel insieme agli altri servizi e applicazioni usati dall'organizzazione.

Tecnologie Microsoft sottostanti usate:

Questa soluzione dipende dalle tecnologie seguenti e alcune delle quali possono essere in stato di anteprima o possono comportare costi operativi o di inserimento aggiuntivi:

• Funzioni di Azure

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• 1Password Events API Token (Token API eventi 1Password): è necessario un token API per gli eventi 1Password. Per altre informazioni, vedere l'API 1Password.

Nota: È necessario un account 1Password Business

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi a 1Password per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati da Azure. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

PASSAGGIO 1 - Procedura di configurazione per l'API 1Password Events Reporting

Seguire queste istruzioni fornite da 1Password per ottenere un token DELL'API Segnalazione eventi. Nota: È necessario un account 1Password Business

PASSAGGIO 2: Distribuire functionApp usando il pulsante DeployToAzure per creare la tabella, il dcr e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore 1Password, è necessario creare una tabella personalizzata.

Opzione 1 - Modello Azure Resource Manager (ARM)

Questo metodo fornisce una distribuzione automatizzata del connettore 1Password usando un modello ARM.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

3. Immettere il nome dell'area di lavoro, il nome dell'area di lavoro, la chiave API degli eventi 1Password e l'URI.

• L'intervallo di tempo predefinito è impostato su cinque (5) minuti. Se si vuole modificare l'intervallo, è possibile modificare il trigger timer dell'app per le funzioni di conseguenza (nel file function.json, dopo la distribuzione) per impedire l'inserimento di dati sovrapposti.
• Nota: se si usano Azure Key Vault segreti per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altre informazioni, vedere Key Vault documentazione di riferimento.

4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati sopra.
5. Fare clic su Acquista per distribuire.

Supportato da:Sicurezza anomala

Il connettore dati di sicurezza anomala offre la possibilità di inserire i log delle minacce e dei casi in Microsoft Sentinel usando l'API Rest di sicurezza anomala.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Token di API Sicurezza anomalo: è necessario un token di API Sicurezza anomalo. Per altre informazioni, vedere Anomalia API Sicurezza. Nota: È necessario un account di sicurezza anomalo

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API REST di Sicurezza anomala per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per il API Sicurezza anomalo

Seguire queste istruzioni fornite da Sicurezza anomala per configurare l'integrazione dell'API REST. Nota: È necessario un account di sicurezza anomalo

PASSAGGIO 2- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati Di sicurezza anomala, avere l'ID area di lavoro e la chiave primaria dell'area di lavoro (che possono essere copiati da quanto segue), nonché il token di autorizzazione di API Sicurezza anomalo, immediatamente disponibile.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Questo metodo fornisce una distribuzione automatizzata del connettore di sicurezza anomala usando un modello di Resource Manager.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

3. Immettere l'ID area di lavoro Microsoft Sentinel, Microsoft Sentinel chiave condivisa e la chiave API REST di sicurezza anomala.

• L'intervallo di tempo predefinito è impostato per eseguire il pull degli ultimi cinque (5) minuti di dati. Se l'intervallo di tempo deve essere modificato, è consigliabile modificare il trigger timer dell'app per le funzioni di conseguenza (nel file function.json, dopo la distribuzione) per evitare l'inserimento di dati sovrapposti.

4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati sopra.
5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati di sicurezza anomala con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare vs code per lo sviluppo di funzioni Azure.

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi a Azure Se si è già connessi, passare al passaggio successivo.

5. Fornire le informazioni seguenti alle richieste:

   a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una cartella contenente l'app per le funzioni.

   b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio AbnormalSecurityXX).

   e. Selezionare un runtime: Scegliere Python 3.8.

   f. Selezionare una posizione per le nuove risorse. Per ottenere prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.

7. Passare a portale di Azuree per la configurazione dell'app per le funzioni.

8. Configurare l'app per le funzioni

9. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.

10. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

11. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (facoltativo) (aggiungere eventuali altre impostazioni richieste dall'app per le funzioni) Impostare il valore su uri : <add uri value>

Nota: se si usano Azure Key Vault segreti per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere Azure Key Vault documentazione di riferimento.

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambiente cloud GovUS, specificare il valore nel formato seguente:https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:Microsoft Corporation

Agent 365 connettore dati offre informazioni più dettagliate sull'attività dell'agente di intelligenza artificiale grazie all'inserimento dei dati di telemetria degli agenti di intelligenza artificiale da Agent 365, ai Foundry e Copilot nel data lake Microsoft Sentinel per analizzare il comportamento degli agenti, l'utilizzo degli strumenti e l'esecuzione con flussi di lavoro di ricerca, grafici e MCP. I dati di questo connettore vengono usati per analizzare il comportamento dell'agente di intelligenza artificiale, l'utilizzo degli strumenti e l'esecuzione in Microsoft Sentinel. Se questi flussi di lavoro sono stati abilitati, la disattivazione di questo connettore impedirà l'esecuzione di tali indagini.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Istruzioni per l'installazione:

Supportato da:AIShield

Il connettore AIShield consente agli utenti di connettersi con i log del meccanismo di difesa personalizzato AIShield con Microsoft Sentinel, consentendo la creazione di dashboard dinamici, cartelle di lavoro, notebook e avvisi personalizzati per migliorare l'indagine e contrastare gli attacchi ai sistemi di intelligenza artificiale. Offre agli utenti maggiori informazioni sulla sicurezza degli asset di intelligenza artificiale dell'organizzazione e migliora le funzionalità di sicurezza dei sistemi di intelligenza artificiale. AIShield.GuArdIan analizza il contenuto generato da LLM per identificare e attenuare i contenuti dannosi, proteggendo da violazioni legali, politiche, basate su ruoli e basate sull'utilizzo

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Nota: gli utenti avrebbero dovuto usare l'offerta SaaS AIShield per condurre l'analisi delle vulnerabilità e distribuire meccanismi di difesa personalizzati generati insieme all'asset di intelligenza artificiale. Clicca qui per saperne di più o contattaci.

Istruzioni per l'installazione:

NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto aiShield distribuito con la soluzione Microsoft Sentinel.

IMPORTANTE: Prima di distribuire AIShield Connector, fare in modo che l'ID area di lavoro e la chiave primaria dell'area di lavoro siano copiati da quanto segue.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Supportato da:Microsoft Corporation

Il connettore dati ActionTrail di Alibaba Cloud offre la possibilità di recuperare gli eventi actiontrail archiviati in Alibaba Cloud Simple Log Service e archiviarli in Microsoft Sentinel tramite l'API REST SLS. Il connettore consente il recupero degli eventi per valutare i potenziali rischi per la sicurezza, monitorare la collaborazione e diagnosticare e risolvere i problemi di configurazione.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Credenziali/autorizzazioni dell'API REST SLS: AliCloudAccessKeyId e AliCloudAccessKeySecret sono necessari per effettuare chiamate API. Per concedere a un utente ram le autorizzazioni per chiamare questa operazione, è necessaria l'istruzione dei criteri RAM con l'azione di almeno log:GetLogStoreLogs una risorsa acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} .

Istruzioni per l'installazione:

Configurare l'accesso all'API SLS di AliCloud

Prima di usare l'API, è necessario preparare l'account di identità e la coppia di chiavi di accesso per accedere in modo efficace all'API.

1. È consigliabile usare un utente di Gestione accesso alle risorse (RAM) per chiamare le operazioni API. Per altre informazioni, vedere Creare un utente ram e autorizzare l'utente ram ad accedere a Simple Log Service.
2. Ottenere la coppia di chiavi di accesso per l'utente ram. Per informazioni dettagliate, vedere Ottenere la coppia di chiavi di accesso.

Prendere nota dei dettagli della coppia di chiavi di accesso per il passaggio successivo.

Aggiungere ActionTrail Logstore

Per abilitare il connettore Alibaba Cloud ActionTrail per Microsoft Sentinel, fare clic su aggiungi ActionTrail Logstore, compilare il modulo con la configurazione dell'ambiente Alibaba Cloud e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Il connettore dati Alibaba Cloud Networking offre la possibilità di inserire i dati di rete di Alibaba Cloud in Microsoft Sentinel tramite l'API REST Simple Log Service (SLS). Per altre informazioni, vedere la documentazione dell'API . Il connettore offre la possibilità di ottenere log dei flussi VPC, log WAF e log del gateway API da Alibaba Cloud.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Accesso all'API SLS di Alibaba Cloud: per l'API SLS è necessario l'accesso semplice al servizio log di Alibaba Cloud .

Istruzioni per l'installazione:

Configurare l'accesso all'API SLS di AliCloud

Prima di usare l'API, è necessario preparare l'account di identità e la coppia di chiavi di accesso per accedere in modo efficace all'API.

1. È consigliabile usare un utente di Gestione accesso alle risorse (RAM) per chiamare le operazioni API. Per altre informazioni, vedere Creare un utente ram e autorizzare l'utente ram ad accedere a Simple Log Service.
2. Ottenere la coppia di chiavi di accesso per l'utente ram. Per informazioni dettagliate, vedere Ottenere la coppia di chiavi di accesso.

Prendere nota dei dettagli della coppia di chiavi di accesso per il passaggio successivo.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Il connettore dati AliCloud offre la possibilità di recuperare i log dalle applicazioni cloud usando l'API Cloud e archiviare gli eventi in Microsoft Sentinel tramite l'API REST. Il connettore consente il recupero degli eventi per valutare i potenziali rischi per la sicurezza, monitorare la collaborazione e diagnosticare e risolvere i problemi di configurazione.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST: AliCloudAccessKeyId e AliCloudAccessKey sono necessari per effettuare chiamate API.

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API Archiviazione BLOB di Azure per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati e per l'archiviazione dei dati nei costi di Archiviazione BLOB di Azure. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure e Archiviazione BLOB di Azure pagina dei prezzi.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto AliCloud che viene distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Passaggi di configurazione per l'API AliCloud

Seguire le istruzioni per ottenere le credenziali.

1. Ottenere AliCloudAccessKeyId e AliCloudAccessKey: accedere all'account, fare clic su AccessKey Management e quindi su Visualizza segreto.
2. Salvare le credenziali per l'uso nel connettore dati.

PASSAGGIO 2- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati AliCloud, fare in modo che l'ID area di lavoro e la chiave primaria dell'area di lavoro siano copiati da quanto segue.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatizzata del connettore dati AliCloud usando un modello arm.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

NOTA: All'interno dello stesso gruppo di risorse, non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app di Windows o creare un nuovo gruppo di risorse. 3. Immettere WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects e AppInsightsWorkspaceResourceID e distribuire. 4. Contrassegnare la casella di controllo etichettata Accetto i termini e le condizioni indicati sopra. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati AliCloud con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare vs code per lo sviluppo di funzioni Azure.

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi a Azure Se si è già connessi, passare al passaggio successivo.

5. Fornire le informazioni seguenti alle richieste:

   a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una cartella contenente l'app per le funzioni.

   b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio AliCloudXXXXX).

   e. Selezionare un runtime: Scegliere Python 3.11.

   f. Selezionare una posizione per le nuove risorse. Per ottenere prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.

7. Passare a portale di Azuree per la configurazione dell'app per le funzioni.

8. Configurare l'app per le funzioni

9. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.

10. Nella scheda Impostazioni applicazione selezionare Nuova impostazione applicazione.

11. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole): WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:Microsoft Corporation

Durante il processo di installazione vengono visualizzate le istruzioni per connettersi ad AWS e trasmettere i log di CloudTrail in Microsoft Sentinel. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Supportato da:Microsoft Corporation

Questo connettore dati consente l'integrazione dei log di AWS CloudFront con Microsoft Sentinel per supportare il rilevamento avanzato delle minacce, l'analisi e il monitoraggio della sicurezza. Usando Amazon S3 per l'archiviazione log e Amazon SQS per l'accodamento dei messaggi, il connettore inserisce in modo affidabile i log di accesso di CloudFront in Microsoft Sentinel

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

Inserimento dei log di AWS CloudFront in Microsoft Sentinel

Elenco delle risorse necessarie:

• Provider di identità Web OIDC (Open ID Connect)
• Ruolo IAM
• Amazon S3 Bucket
• Amazon SQS
• Configurazione di AWS CloudFront

1. AWS CloudFormation Deployment Per configurare l'accesso in AWS, sono stati generati due modelli per configurare l'ambiente AWS per inviare i log da un bucket S3 all'area di lavoro Log Analytics.

Per ogni modello, creare Stack in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Scegliere l'opzione "Specifica modello", quindi "Carica un file modello" facendo clic su "Scegli file" e selezionando il file di modello CloudFormation appropriato fornito di seguito. Fare clic su 'Scegli file' e selezionare il modello scaricato.
3. Fare clic su "Avanti" e su "Crea stack".

• Modello 1: distribuzione dell'autenticazione openID connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse AWSCloudFront: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta Per abilitare AWS S3 per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Il connettore AWS Elastic Load Balancing (ELB) per Microsoft Sentinel consente di inserire i log di accesso e i log di flusso da AWS Application Load Balancers (ALB), Network Load Balancers (NLB) e Gateway Load Balancers (GLB) in Microsoft Sentinel. Questi log forniscono informazioni dettagliate sulle richieste elaborate dai servizi di bilanciamento del carico e dai flussi di traffico VPC, abilitando il monitoraggio della sicurezza, il rilevamento delle minacce e l'analisi del traffico.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Aws IAM Role ARN and SQS Queue (ARN ruolo IAM AWS e coda SQS): sono necessari un ARN del ruolo IAM AWS con accesso tra account e un URL della coda SQS configurato per le notifiche degli eventi S3. Per istruzioni sulla configurazione, vedere la documentazione del connettore AWS ELB .

Istruzioni per l'installazione:

1. AWS CloudFormation Deployment Per configurare l'accesso in AWS, usare i modelli CloudFormation per configurare l'ambiente per inviare i log da ALB, NLB e GLB all'area di lavoro Log Analytics.

Passaggi di distribuzione:

1. Passare a Cloud Formation Templates (Modelli di formazione cloud) e scaricare i file del modello JSON.
2. Passare ad AWS CloudFormation Stacks.
3. Distribuire prima di tutto il modello OIDCWebIdProvider.json (ignorare se si dispone già di un provider OIDC per Microsoft Sentinel).
4. Distribuire quindi il modello AWSS3ELB.json con i parametri.
5. Prendere nota dei valori seguenti dagli output dello stack:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Configurazione post-distribuzione:

Dopo aver distribuito correttamente lo stack CloudFormation:

• Passare alla scheda Risorse nello stack.
• Individuare il nome del bucket S3 creato.
• Nel bucket S3 creare manualmente le cartelle seguenti:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Invio di log:

Dopo la creazione della cartella, configurare i servizi AWS per inviare i log alle cartelle appropriate:

• Log di accesso ALB ->ALBLogs/
• Log di accesso di Bilanciamento carico di rete ->NLBAccessLogs/
• Log di flusso bilanciamento carico di rete ->NLBFlowLogs/
• Log del flusso GLB ->GLBFlowLogs/

Questi log verranno inseriti nelle tabelle corrispondenti nell'area di lavoro Log Analytics.

Mapping delle tabelle:

• Log di accesso ALB ->AWSALBAccessLogsData
• Log di accesso di Bilanciamento carico di rete ->AWSNLBAccessLogsData
• Log dei flussi di Bilanciamento carico di rete e Bilanciamento carico di rete ->AWSELBFlowLogsData

Nota:AWSELBFlowLogsData Nella tabella, una colonna denominata LogType indicherà se una riga proviene dai log di flusso di Bilanciamento carico di rete o dai log di flusso del bilanciamento del carico di rete.

2. Connettere nuovi agenti di raccolta Per abilitare il connettore, fare clic su Aggiungi nuovo agente di raccolta, immettere i dettagli necessari e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Questo connettore dati consente di inserire i log di AWS Network Firewall in Microsoft Sentinel per il rilevamento avanzato delle minacce e il monitoraggio della sicurezza. Sfruttando Amazon S3 e Amazon SQS, il connettore inoltra i log del traffico di rete, gli avvisi di rilevamento delle intrusioni e gli eventi del firewall per Microsoft Sentinel, abilitando l'analisi in tempo reale e la correlazione con altri dati di sicurezza

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

Inserimento dei log di AWS NetworkFirewall in Microsoft Sentinel

Elenco delle risorse necessarie:

• Provider di identità Web OIDC (Open ID Connect)
• Ruolo IAM
• Amazon S3 Bucket
• Amazon SQS
• Configurazione di AWSNetworkFirewall
• Seguire queste istruzioni per la configurazione del connettore aws NetworkFirewall Data

1. AWS CloudFormation Deployment Per configurare l'accesso in AWS, sono stati generati due modelli per configurare l'ambiente AWS per inviare i log da un bucket S3 all'area di lavoro Log Analytics.

Per ogni modello, creare Stack in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Scegliere l'opzione "Specifica modello", quindi "Carica un file modello" facendo clic su "Scegli file" e selezionando il file di modello CloudFormation appropriato fornito di seguito. Fare clic su 'Scegli file' e selezionare il modello scaricato.
3. Fare clic su "Avanti" e su "Crea stack".

• Modello 1: distribuzione dell'autenticazione openID connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse AWSNetworkFirewall: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta Per abilitare AWS S3 per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Questo connettore consente di inserire i log del servizio AWS, raccolti nei bucket AWS S3, per Microsoft Sentinel. I tipi di dati attualmente supportati sono:

• AWS CloudTrail
• Log di flusso VPC
• AWS GuardDuty
• AWSCloudWatch

Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Ambiente: è necessario avere le risorse AWS seguenti definite e configurate: S3, Simple Queue Service (SQS), i ruoli e i criteri di autorizzazione di IAM e i servizi AWS di cui si vuole raccogliere i log.

Istruzioni per l'installazione:

1. Configurare l'ambiente AWS

Sono disponibili due opzioni per configurare l'ambiente AWS per inviare i log da un bucket S3 all'area di lavoro Log Analytics:

Installazione con script di PowerShell (scelta consigliata)

• Eseguire lo script per configurare l'ambiente: <valore variabile fornito in fase di installazione>
• ID esterno (ID area di lavoro):<valore variabile fornito in fase di installazione>

Configurazione manuale

Seguire le istruzioni nel collegamento seguente per configurare l'ambiente: Connettere AWS S3 a Microsoft Sentinel

2. Aggiungere la connessione

Supportato da:Microsoft Corporation

Questo connettore consente l'inserimento dei log DNS di AWS Route 53 in Microsoft Sentinel per una visibilità avanzata e il rilevamento delle minacce. Supporta i log delle query del resolver DNS inseriti direttamente dai bucket AWS S3, mentre i log delle query DNS pubblici e i log di controllo di Route 53 possono essere inseriti usando i connettori AWS CloudWatch e CloudTrail di Microsoft Sentinel. Sono disponibili istruzioni complete per guidare l'utente nella configurazione di ogni tipo di log. Sfruttare questo connettore per monitorare l'attività DNS, rilevare potenziali minacce e migliorare il comportamento di sicurezza negli ambienti cloud.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

AWS Route53

Questo connettore consente l'inserimento dei log DNS di AWS Route 53 in Microsoft Sentinel, offrendo visibilità migliorata sull'attività DNS e potenziando le funzionalità di rilevamento delle minacce. Supporta l'inserimento diretto dei log di query del resolver DNS dai bucket AWS S3, mentre i log delle query DNS pubblici e i log di controllo di Route 53 possono essere inseriti tramite i connettori AWS CloudWatch e CloudTrail di Microsoft Sentinel. Per ogni tipo di log sono disponibili istruzioni dettagliate per l'installazione. Usare questo connettore per monitorare il traffico DNS, identificare potenziali minacce e migliorare il comportamento di sicurezza del cloud.

È possibile inserire il tipo di log seguente da AWS Route 53 a Microsoft Sentinel:

1. Log delle query del resolver route 53
2. Log di query delle zone ospitate pubbliche di Route 53 (tramite Microsoft Sentinel connettore CloudWatch)
3. Log di controllo della route 53 (tramite Microsoft Sentinel connettore CloudTrail)

Inserimento dei log delle query del resolver Route53 in Microsoft Sentinel

Elenco delle risorse necessarie:

• Provider di identità Web OIDC (Open ID Connect)
• Ruolo IAM
• Amazon S3 Bucket
• Amazon SQS
• Configurazione della registrazione delle query del resolver route 53
• VPC da associare alla configurazione del log di query del resolver Route53

1. AWS CloudFormation Deployment Per configurare l'accesso in AWS, sono stati generati due modelli per configurare l'ambiente AWS per inviare i log da un bucket S3 all'area di lavoro Log Analytics.

Per ogni modello, creare Stack in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Scegliere l'opzione "Specifica modello", quindi "Carica un file modello" facendo clic su "Scegli file" e selezionando il file di modello CloudFormation appropriato fornito di seguito. Fare clic su 'Scegli file' e selezionare il modello scaricato.
3. Fare clic su "Avanti" e su "Crea stack".

• Modello 1: distribuzione dell'autenticazione openID connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse di AWS Route53: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta Per abilitare Amazon Web Services S3 DNS Route53 per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Inserimento dei log di query delle zone ospitate pubbliche della route 53 (tramite Microsoft Sentinel connettore CloudWatch)

I log delle query della zona ospitata pubblica vengono esportati nel servizio CloudWatch in AWS. È possibile usare il connettore "Amazon Web Services S3" per inserire i log di CloudWatch da AWS a Microsoft Sentinel.

Passaggio 1: Configurare la registrazione per le query DNS pubbliche

1. Accedere alla console di gestione AWS e aprire la console di Route 53 in AWS Route 53.
2. Passare alla route 53 > Zone ospitate.
3. Scegliere la zona ospitata pubblica per cui si vuole configurare la registrazione delle query.
4. Nel riquadro Dettagli zona ospitata fare clic su "Configura registrazione query".
5. Scegliere un gruppo di log esistente o creare un nuovo gruppo di log.
6. Scegliere Crea.

Passaggio 2: Configurare il connettore dati di Amazon Web Services S3 per AWS CloudWatch

I log di AWS CloudWatch possono essere esportati in un bucket S3 usando la funzione lambda. Per inserire query DNS pubbliche da AWS CloudWatch a S3 bucket e quindi per Microsoft Sentinel, seguire le istruzioni fornite nel connettore Amazon Web Services S3.

Inserimento dei log di controllo di Route 53 (tramite Microsoft Sentinel connettore CloudTrail)

I log di controllo della route 53, ad esempio i log relativi alle azioni eseguite dall'utente, dal ruolo o dal servizio AWS nella route 53 possono essere esportati in un bucket S3 tramite il servizio AWS CloudTrail. È possibile usare il connettore "Amazon Web Services S3" per inserire i log di CloudTrail da AWS a Microsoft Sentinel.

Passaggio 1: Configurare la registrazione per i log di controllo di AWS Route 53

1. Accedere a AWS Management Console e aprire la console CloudTrail in AWS CloudTrail
2. Se non si dispone di un trail esistente, fare clic su "Crea traccia"
3. Immettere un nome per la traccia nel campo Nome trail.
4. Selezionare Crea nuovo bucket S3 (è anche possibile scegliere di usare un bucket S3 esistente).
5. Lasciare le altre impostazioni come predefinite e fare clic su Avanti.
6. Selezionare Tipo di evento e assicurarsi che sia selezionata l'opzione Eventi di gestione.
7. Selezionare attività API, 'Read' e 'Write'
8. Fare clic su Avanti.
9. Esaminare le impostazioni e fare clic su "Crea traccia".

Passaggio 2: Configurare il connettore dati di Amazon Web Services S3 per AWS CloudTrail

Per inserire i log di controllo e gestione da AWS CloudTrail a Microsoft Sentinel, seguire le istruzioni fornite nel connettore Amazon Web Services S3

Supportato da:Microsoft Corporation

Questo connettore consente di inserire i log WAF AWS, raccolti in bucket AWS S3, per Microsoft Sentinel. I log WAF di AWS sono record dettagliati del traffico analizzato dagli elenchi di controllo di accesso Web(ACL), essenziali per mantenere la sicurezza e le prestazioni delle applicazioni Web. Questi log contengono informazioni quali l'ora in cui AWS WAF ha ricevuto la richiesta, le specifiche della richiesta e l'azione eseguita dalla regola corrispondente alla richiesta.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

1. AWS CloudFormation Deployment Per configurare l'accesso in AWS, sono stati generati due modelli per configurare l'ambiente AWS per inviare i log da un bucket S3 all'area di lavoro Log Analytics.

Per ogni modello, creare Stack in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Scegliere l'opzione "Specifica modello", quindi "Carica un file modello" facendo clic su "Scegli file" e selezionando il file di modello CloudFormation appropriato fornito di seguito. Fare clic su 'Scegli file' e selezionare il modello scaricato.
3. Fare clic su "Avanti" e su "Crea stack".

• Modello 1: distribuzione dell'autenticazione openID connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse WAF AWS: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta Per abilitare AWS S3 per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Anvilogic

Il connettore dati Anvilogic consente di eseguire il pull di eventi di interesse generati nel cluster Anvilogic ADX nel Microsoft Sentinel

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• ID client di registrazione dell'applicazione anvilogic e segreto client: per accedere ad Anvilogic ADX sono necessari l'ID client e il segreto client dalla registrazione dell'app Anvilogic

Istruzioni per l'installazione:

Connettersi ad Anvilogic per iniziare a raccogliere eventi di interesse in Microsoft Sentinel

Completare il modulo per inserire gli avvisi anvilogici nel Microsoft Sentinel

• Endpoint token: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Ambito ADX anvilogico: (<avl_adx_uri>/.default)
• URI richiesta ADX anvilogico: (<avl_adx_uri>/v2/rest/query)

Supportato da:ARGOS Cloud Security

L'integrazione di ARGOS Cloud Security per Microsoft Sentinel consente di avere tutti gli eventi di sicurezza cloud importanti in un'unica posizione. In questo modo è possibile creare facilmente dashboard, avvisi ed eventi correlati in più sistemi. Nel complesso, ciò migliorerà il comportamento di sicurezza dell'organizzazione e la risposta agli eventi imprevisti di sicurezza.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Istruzioni per l'installazione:

1. Sottoscrivere ARGOS

Assicurarsi di essere già proprietari di una sottoscrizione ARGOS. In caso contrario, passare a ARGOS Cloud Security e iscriversi ad ARGOS.

In alternativa, è anche possibile acquistare ARGOS tramite Azure Marketplace.

2. Configurare l'integrazione Sentinel da ARGOS

Configurare ARGOS per inoltrare eventuali nuovi rilevamenti all'area di lavoro Sentinel fornendo ARGOS con l'ID dell'area di lavoro e la chiave primaria.

Non è necessario distribuire alcuna infrastruttura personalizzata.

Immettere le informazioni nella pagina di configurazione argos Sentinel.

I nuovi rilevamenti verranno inoltrati automaticamente.

Altre informazioni sull'integrazione

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Supportato da:Armis Corporation

Il connettore Armis Alerts Activities consente di inserire gli avvisi e le attività di Armis in Microsoft Sentinel tramite l'API REST di Armis. Per altre informazioni, vedere la documentazione https://<YourArmisInstance>.armis.com/api/v1/docs dell'API. Il connettore consente di ottenere informazioni sugli avvisi e sulle attività dalla piattaforma Armis e di identificare e assegnare priorità alle minacce nell'ambiente. Armis usa l'infrastruttura esistente per individuare e identificare i dispositivi senza dover distribuire agenti.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST: è necessaria la chiave privata di Armis . Per altre informazioni sull'API, vedere la documentazione https://<YourArmisInstance>.armis.com/api/v1/doc

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API Armis per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto che viene distribuito come parte della soluzione. Per visualizzare il codice della funzione in Log Analytics, aprire il pannello Log Analytics/Microsoft Sentinel Log, fare clic su Funzioni e cercare l'alias ArmisActivities/ArmisAlerts e caricare il codice della funzione. L'attivazione della funzione richiede in genere 10-15 minuti dopo l'installazione/aggiornamento della soluzione.

PASSAGGIO 1 - Passaggi di configurazione per l'API Armis

Seguire queste istruzioni per creare una chiave privata dell'API Armis.

1. Accedere all'istanza di Armis
2. Passare a Impostazioni -> Gestione API
3. Se la chiave privata non è già stata creata, premere il pulsante Crea per creare il tasto segreto
4. Per accedere al tasto segreto, premere il pulsante Mostra
5. La chiave privata può ora essere copiata e usata durante la configurazione del connettore Armis Alerts Activities

PASSAGGIO 2 - Procedura di registrazione dell'app per l'applicazione in Microsoft Entra ID

Questa integrazione richiede una registrazione dell'app nel portale di Azure. Seguire i passaggi descritti in questa sezione per creare una nuova applicazione in Microsoft Entra ID:

1. Accedere al portale di Azure.
2. Cercare e selezionare Microsoft Entra ID.
3. In Gestisci selezionare Registrazioni app > Nuova registrazione.
4. Immettere un nome visualizzato per l'applicazione.
5. Selezionare Registra per completare la registrazione iniziale dell'app.
6. Al termine della registrazione, il portale di Azure visualizza il riquadro Panoramica della registrazione dell'app. Verranno visualizzati l'ID applicazione (client) e l'ID tenant. L'ID client e l'ID tenant sono necessari come parametri di configurazione per l'esecuzione di Armis Alerts Activities Data Connector.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app

PASSAGGIO 3 - Aggiungere un segreto client per l'applicazione in Microsoft Entra ID

A volte chiamato password dell'applicazione, un segreto client è un valore stringa necessario per l'esecuzione di Armis Alerts Activities Data Connector. Seguire i passaggi descritti in questa sezione per creare un nuovo segreto client:

1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.
2. Selezionare Certificati & segreti > client Segreti > client Nuovo segreto client.
3. Aggiungere una descrizione per il segreto client.
4. Selezionare una scadenza per il segreto o specificare una durata personalizzata. Il limite è di 24 mesi.
5. Selezionare Aggiungi.
6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina. Il valore del segreto è obbligatorio come parametro di configurazione per l'esecuzione di Armis Alerts Activities Data Connector.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSAGGIO 4 - Assegnare il ruolo collaboratore all'applicazione in Microsoft Entra ID

Seguire i passaggi descritti in questa sezione per assegnare il ruolo:

1. Nella portale di Azure passare al gruppo di risorse e selezionare il gruppo di risorse.
2. Passare a Controllo di accesso (IAM) dal pannello sinistro.
3. Fare clic su Aggiungi e quindi selezionare Aggiungi assegnazione di ruolo.
4. Selezionare Collaboratore come ruolo e fare clic su Avanti.
5. In Assegna accesso a selezionare User, group, or service principal.
6. Fare clic su Aggiungi membri e digitare il nome dell'app creato e selezionarlo.
7. Fare ora clic su Rivedi e assegna e quindi fare di nuovo clic su Rivedi e assegna.

Collegamento di riferimento:/azure/role-based-access-control/role-assignments-portal

PASSAGGIO 5 - Creare un keyvault

Seguire queste istruzioni per creare un nuovo keyvault.

1. Nella portale di Azure passare agli insiemi di credenziali delle chiavi. Fare clic su Crea.
2. Selezionare Sottoscrizione, Gruppo di risorse e specificare il nome univoco di keyvault.

NOTA: creare un insieme di credenziali delle chiavi separato per ogni chiave API all'interno di un'area di lavoro.

PASSAGGIO 6 - Creare criteri di accesso in Keyvault

Seguire queste istruzioni per creare criteri di accesso in Keyvault.

1. Passare a keyvaults, selezionare il keyvault, passare a Criteri di accesso nel pannello a sinistra. Fare clic su Crea.
2. Selezionare tutte le chiavi & le autorizzazioni dei segreti. Fare clic su Avanti.
3. Nella sezione Principal cercare in base al nome dell'applicazione generato in STEP - 2. Fare clic su Avanti.

NOTA: assicurarsi che il modello di autorizzazione nella configurazione di accesso di Key Vault sia impostato su "Criteri di accesso dell'insieme di credenziali"

PASSAGGIO 7- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati Armis Alerts Activities, avere l'ID dell'area di lavoro e la chiave primaria dell'area di lavoro (che possono essere copiati dai seguenti) immediatamente disponibili.., nonché le chiavi di autorizzazione dell'API Armis

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore Armis.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.msaka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

3. Immettere le informazioni seguenti: ID area di lavoro Nome funzione ID area di lavoro Key Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name
   Gravità del nome della tabella attività Armis (impostazione predefinita: bassa) Armis Schedule KeyVault Name Azure CLIENT ID Azure Client Secret Tenant ID

4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati sopra.

5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Armis Alerts Activities con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare vs code per lo sviluppo di funzioni Azure.

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi a Azure Se si è già connessi, passare al passaggio successivo.

5. Fornire le informazioni seguenti alle richieste:

   a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una cartella contenente l'app per le funzioni.

   b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio ARMISXXXXX).

   e. Selezionare un runtime: Scegliere Python 3.11

   f. Selezionare una posizione per le nuove risorse. Per ottenere prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.

7. Passare a portale di Azuree per la configurazione dell'app per le funzioni.

8. Configurare l'app per le funzioni

9. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.

10. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

11. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori (distinzione tra maiuscole e minuscole): ID area di lavoro Chiave Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Nome tabella Armis Activity Table Severity (Impostazione predefinita: Bassa) Armis Schedule KeyVault Name Azure Client ID Azure Client Secret Tenant ID logAnalyticsUri (facoltativo)

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:Armis Corporation

Il connettore Armis Device consente di inserire Armis Devices in Microsoft Sentinel tramite l'API REST di Armis. Per altre informazioni, vedere la documentazione https://<YourArmisInstance>.armis.com/api/v1/docs dell'API. Il connettore offre la possibilità di ottenere informazioni sul dispositivo dalla piattaforma Armis. Armis usa l'infrastruttura esistente per individuare e identificare i dispositivi senza dover distribuire agenti. Armis può anche integrarsi con gli strumenti di gestione della sicurezza & IT esistenti per identificare e classificare ogni dispositivo, gestito o non gestito nell'ambiente.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST: è necessaria la chiave privata di Armis . Per altre informazioni sull'API, vedere la documentazione https://<YourArmisInstance>.armis.com/api/v1/doc

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API Armis per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

NOTA: questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, ArmisDevice

PASSAGGIO 1 - Passaggi di configurazione per l'API Armis

Seguire queste istruzioni per creare una chiave privata dell'API Armis.

1. Accedere all'istanza di Armis
2. Passare a Impostazioni -> Gestione API
3. Se la chiave privata non è già stata creata, premere il pulsante Crea per creare il tasto segreto
4. Per accedere al tasto segreto, premere il pulsante Mostra
5. La chiave privata può ora essere copiata e usata durante la configurazione del connettore armis device

PASSAGGIO 2 - Procedura di registrazione dell'app per l'applicazione in Microsoft Entra ID

Questa integrazione richiede una registrazione dell'app nel portale di Azure. Seguire i passaggi descritti in questa sezione per creare una nuova applicazione in Microsoft Entra ID:

1. Accedere al portale di Azure.
2. Cercare e selezionare Microsoft Entra ID.
3. In Gestisci selezionare Registrazioni app > Nuova registrazione.
4. Immettere un nome visualizzato per l'applicazione.
5. Selezionare Registra per completare la registrazione iniziale dell'app.
6. Al termine della registrazione, il portale di Azure visualizza il riquadro Panoramica della registrazione dell'app. Verranno visualizzati l'ID applicazione (client) e l'ID tenant. L'ID client e l'ID tenant sono necessari come parametri di configurazione per l'esecuzione di Armis Device Data Connector.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app

PASSAGGIO 3 - Aggiungere un segreto client per l'applicazione in Microsoft Entra ID

A volte chiamato password dell'applicazione, un segreto client è un valore stringa necessario per l'esecuzione di Armis Device Data Connector. Seguire i passaggi descritti in questa sezione per creare un nuovo segreto client:

1. Nel portale di Azure selezionare l'applicazione in Registrazioni app.
2. Selezionare Certificati & segreti > client Segreti > client Nuovo segreto client.
3. Aggiungere una descrizione per il segreto client.
4. Selezionare una scadenza per il segreto o specificare una durata personalizzata. Il limite è di 24 mesi.
5. Selezionare Aggiungi.
6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina. Il valore del segreto è obbligatorio come parametro di configurazione per l'esecuzione di Armis Device Data Connector.

Collegamento di riferimento:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASSAGGIO 4 - Assegnare il ruolo collaboratore all'applicazione in Microsoft Entra ID

Seguire i passaggi descritti in questa sezione per assegnare il ruolo:

1. Nella portale di Azure passare al gruppo di risorse e selezionare il gruppo di risorse.
2. Passare a Controllo di accesso (IAM) dal pannello sinistro.
3. Fare clic su Aggiungi e quindi selezionare Aggiungi assegnazione di ruolo.
4. Selezionare Collaboratore come ruolo e fare clic su Avanti.
5. In Assegna accesso a selezionare User, group, or service principal.
6. Fare clic su Aggiungi membri e digitare il nome dell'app creato e selezionarlo.
7. Fare ora clic su Rivedi e assegna e quindi fare di nuovo clic su Rivedi e assegna.

Collegamento di riferimento:/azure/role-based-access-control/role-assignments-portal

PASSAGGIO 5 - Creare un keyvault

Seguire queste istruzioni per creare un nuovo keyvault.

1. Nella portale di Azure passare agli insiemi di credenziali delle chiavi. Fare clic su Crea.
2. Selezionare Sottoscrizione, Gruppo di risorse e specificare il nome univoco di keyvault.

NOTA: creare un insieme di credenziali delle chiavi separato per ogni chiave API all'interno di un'area di lavoro.

PASSAGGIO 6 - Creare criteri di accesso in Keyvault

Seguire queste istruzioni per creare criteri di accesso in Keyvault.

1. Passare a keyvaults, selezionare il keyvault, passare a Criteri di accesso nel pannello a sinistra. Fare clic su Crea.
2. Selezionare tutte le chiavi & le autorizzazioni dei segreti. Fare clic su Avanti.
3. Nella sezione Principal cercare in base al nome dell'applicazione generato in STEP - 2. Fare clic su Avanti.

NOTA: assicurarsi che il modello di autorizzazione nella configurazione di accesso di Key Vault sia impostato su "Criteri di accesso dell'insieme di credenziali"

PASSAGGIO 7- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati del dispositivo Armis, avere l'ID dell'area di lavoro e la chiave primaria dell'area di lavoro (che possono essere copiati dai seguenti) immediatamente disponibili., nonché le chiavi di autorizzazione dell'API Armis

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore Armis.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.msaka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

3. Immettere le informazioni seguenti: ID area di lavoro Nome funzione ID area di lavoro Key Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client ID Azure Client Secret Tenant ID

4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati sopra.

5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati di Armis Device con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare vs code per lo sviluppo di funzioni Azure.

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi a Azure Se si è già connessi, passare al passaggio successivo.

5. Fornire le informazioni seguenti alle richieste:

   a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una cartella contenente l'app per le funzioni.

   b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio ARMISXXXXX).

   e. Selezionare un runtime: Scegliere Python 3.11

   f. Selezionare una posizione per le nuove risorse. Per ottenere prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.

7. Passare a portale di Azuree per la configurazione dell'app per le funzioni.

8. Configurare l'app per le funzioni

9. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.

10. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

11. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori (con distinzione tra maiuscole e minuscole): ID area di lavoro Chiave Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client ID Azure Client Secret Tenant ID logAnalyticsUri (facoltativo)

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:DEFEND Ltd.

Atlassian Beacon è un prodotto cloud progettato per il rilevamento intelligente delle minacce nelle piattaforme Atlassian (Jira, Confluence e Atlassian Amministrazione). Questo può aiutare gli utenti a rilevare, analizzare e rispondere alle attività utente rischiose per la suite di prodotti Atlassian. La soluzione è un connettore dati personalizzato di DEFEND Ltd. usato per visualizzare gli avvisi inseriti da Atlassian Beacon per Microsoft Sentinel tramite un'app per la logica.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Istruzioni per l'installazione:

1. Microsoft Sentinel

1. Passare all'app per la logica appena installata 'Atlassian Beacon Integration'

2. Passare a 'Progettazione app per la logica'

3. Espandere 'When a HTTP request is received' (Quando viene ricevuta una richiesta HTTP)

4. Copiare l'URL HTTP POST

2. Atlassian Beacon

1. Accedere ad Atlassian Beacon usando un account amministratore

2. Passare a "INOLTRO SIEM" in IMPOSTAZIONI

3. Incollare l'URL copiato dall'app per la logica nella casella di testo

4. Fare clic sul pulsante 'Salva'

3. Test e convalida

1. Accedere ad Atlassian Beacon usando un account amministratore

2. Passare a "INOLTRO SIEM" in IMPOSTAZIONI

3. Fare clic sul pulsante "Test" accanto al webhook appena configurato

4. Passare a Microsoft Sentinel

5. Passare all'app per la logica appena installata

6. Controllare l'esecuzione dell'app per la logica in "Cronologia esecuzioni"

7. Verificare la presenza di log con il nome di tabella 'atlassian_beacon_alerts_CL' in 'Logs'

8. Se la regola analitica è stata abilitata, l'avviso test precedente dovrebbe aver creato un evento imprevisto in Microsoft Sentinel

Supportato da:Microsoft Corporation

Il connettore dati Atlassian Confluence Audit offre la possibilità di inserire gli eventi dei record di controllo di confluenza in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la documentazione dell'API . Il connettore consente il recupero degli eventi per valutare i potenziali rischi per la sicurezza, monitorare la collaborazione e diagnosticare e risolvere i problemi di configurazione.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Accesso all'API Atlassian Confluence: l'autorizzazione Amministra confluenza è necessaria per ottenere l'accesso all'API Log di controllo di Confluence. Per altre informazioni sull'API di controllo, vedere la documentazione dell'API Confluence .

Istruzioni per l'installazione:

Connettersi all'API Atlassian Confluence per iniziare a raccogliere i log di controllo in Microsoft Sentinel

Per abilitare il connettore Atlassian Confluence per Microsoft Sentinel, fare clic per aggiungere un'organizzazione, compilare il modulo con le credenziali dell'ambiente Confluence e fare clic su Connetti. Seguire questa procedura per creare un token API.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Il connettore dati Atlassian Jira Audit offre la possibilità di inserire gli eventi di Jira Audit Records in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la documentazione dell'API . Il connettore consente il recupero degli eventi per valutare i potenziali rischi per la sicurezza, monitorare la collaborazione e diagnosticare e risolvere i problemi di configurazione.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST: JiraAccessToken, JiraUsername è necessario per l'API REST. Per altre informazioni, vedere API. Controllare tutti i requisiti e seguire le istruzioni per ottenere le credenziali.

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API REST Jira per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

NOTA: questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto. Seguire questa procedura per creare l'alias delle funzioni Kusto, JiraAudit

PASSAGGIO 1 - Passaggi di configurazione per l'API Jira

Seguire le istruzioni per ottenere le credenziali.

PASSAGGIO 2- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati dell'area di lavoro, fare in modo che l'ID dell'area di lavoro e la chiave primaria dell'area di lavoro siano copiati da quanto segue.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatizzata del connettore dati Jira Audit usando un modello arm.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.msaka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

NOTA: All'interno dello stesso gruppo di risorse, non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app di Windows o creare un nuovo gruppo di risorse. 3. Immettere JiraAccessToken, JiraUsername, JiraHomeSiteName (parte del nome del sito breve, come esempio HOMESITENAME da https://community.atlassian.com) e distribuire. 4. Contrassegnare la casella di controllo etichettata Accetto i termini e le condizioni indicati sopra. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Jira Audit con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare vs code per lo sviluppo di funzioni Azure.

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi a Azure Se si è già connessi, passare al passaggio successivo.

5. Fornire le informazioni seguenti alle richieste:

   a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una cartella contenente l'app per le funzioni.

   b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio JiraAuditXXXXX).

   e. Selezionare un runtime: Scegliere Python 3.11.

   f. Selezionare una posizione per le nuove risorse. Per ottenere prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.

7. Passare a portale di Azuree per la configurazione dell'app per le funzioni.

8. Configurare l'app per le funzioni

9. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.

10. Nella scheda Impostazioni applicazione selezionare Nuova impostazione applicazione.

11. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

3. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:Microsoft Corporation

Il connettore dati Atlassian Jira Audit offre la possibilità di inserire gli eventi di Jira Audit Records in Microsoft Sentinel tramite l'API REST. Per altre informazioni, vedere la documentazione dell'API . Il connettore consente il recupero degli eventi per valutare i potenziali rischi per la sicurezza, monitorare la collaborazione e diagnosticare e risolvere i problemi di configurazione.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Accesso all'API Atlassian Jira: è necessaria l'autorizzazione amministrare Jira per ottenere l'accesso all'API dei log di controllo di Jira. Per altre informazioni sull'API di controllo, vedere la documentazione dell'API Jira .

Istruzioni per l'installazione:

Per abilitare il connettore Atlassian Jira per Microsoft Sentinel, fare clic per aggiungere un'organizzazione, compilare il modulo con le credenziali dell'ambiente Jira e fare clic su Connetti. Seguire questa procedura per creare un token API.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Il connettore dati Auth0 consente di inserire i log dall'API Auth0 in Microsoft Sentinel. Il connettore dati è basato su Microsoft Sentinel Codeless Connector Framework. Usa l'API Auth0 per recuperare i log e supporta trasformazioni del tempo di inserimento basate su DCR che analizzano i dati di sicurezza ricevuti in una tabella personalizzata in modo che le query non debbano analizzarli di nuovo, con conseguente miglioramento delle prestazioni.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

PASSAGGIO 1 - Procedura di configurazione per l'API di gestione di Auth0

Seguire le istruzioni per ottenere le credenziali.

1. Nel dashboard di Auth0 passare a [Applicazioni>]
2. Selezionare l'applicazione. Si tratta di un'applicazione [da computer a computer] configurata con almeno le autorizzazioni [read:logs] e [read:logs_users].
3. Copia [Domain, ClientID, Client Secret]

• URL API di base: (https://example.auth0.com)
• ID client: (ID client)
• Segreto client: (token API)
• Abilitare/disabilitare la connessione

Supportato da:Microsoft Corporation

È possibile trasmettere i log di controllo dal server SQL WebCTRL ospitato nei computer Windows connessi al Microsoft Sentinel. Questa connessione consente di visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo vengono fornite informazioni dettagliate sui sistemi di controllo industriale monitorati o controllati dall'applicazione WebCTRL BAS.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

1. Installare ed eseguire l'onboarding dell'agente Microsoft per Windows.

Informazioni sulla configurazione dell'agente e sull'onboarding degli eventi di Windows.

È possibile ignorare questo passaggio se è già stato installato l'agente Microsoft per Windows

2. Configurare l'attività di Windows per leggere i dati di controllo e scriverli negli eventi di Windows

Installare e configurare l'attività pianificata di Windows per leggere i log di controllo in SQL e scriverli come eventi di Windows. Questi eventi di Windows verranno raccolti dall'agente e inoltrati a Microsoft Sentinel.

Si noti che i dati di tutti i computer verranno archiviati nell'area di lavoro selezionata

2.1 Copiare i file di installazione in un percorso nel server.

2.2 Aggiornare i parametri di script ALC-WebCTRL-AuditPull.ps1 (copiati nel passaggio precedente), ad esempio il nome del database di destinazione e l'ID evento di Windows. Per altri dettagli, fare riferimento ai commenti nello script.

2.3 Aggiornare le impostazioni delle attività di Windows nel file ALC-WebCTRL-AuditPullTaskConfig.xml copiato nel passaggio precedente in base alle esigenze. Per altri dettagli, fare riferimento ai commenti nel file.

2.4 Installare le attività di Windows usando le configurazioni aggiornate copiate nei passaggi precedenti

• Eseguire il comando seguente in PowerShell dalla directory in cui vengono copiati i file di installazione nel passaggio 2.1: <valore variabile fornito in fase di installazione>

3. Convalidare la connessione

Seguire le istruzioni per convalidare la connettività:

Aprire Log Analytics per verificare se i log vengono ricevuti usando lo schema eventi.

Potrebbero essere necessari circa 20 minuti prima che la connessione flussi i dati all'area di lavoro.

Se i log non vengono ricevuti, convalidare i passaggi seguenti per eventuali problemi di runtime:

1. Assicurarsi che l'attività pianificata sia stata creata e che sia in esecuzione nell'Utilità di pianificazione di Windows.

2. Verificare la presenza di errori di esecuzione delle attività nella scheda Cronologia dell'Utilità di pianificazione di Windows per l'attività appena creata nel passaggio 2.4

3. Assicurarsi che la tabella controllo SQL sia costituita da nuovi record durante l'esecuzione dell'attività pianificata di Windows.

Supportato da:Microsoft Corporation

Il connettore dati AWS EKS offre la possibilità di inserire i log di controllo dal servizio Amazon Elastic Kubernetes in Microsoft Sentinel. Questo connettore è incentrato sui log di controllo del servizio Azure Kubernetes (formato JSON) che contengono informazioni dettagliate sulle richieste del server API, sulle decisioni di autenticazione e sulle attività del cluster. Il connettore usa AWS SQS per ricevere notifiche quando vengono esportati nuovi file di log di controllo in S3, garantendo il monitoraggio della sicurezza e della conformità in tempo reale per i cluster Kubernetes.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Istruzioni per l'installazione:

1. AWS CloudFormation Deployment

Usare i modelli CloudFormation forniti per configurare l'ambiente AWS per l'invio di log da AWS EKS all'area di lavoro Log Analytics.

Distribuire i modelli CloudFormation in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Fare clic su Crea stack e selezionare Con nuove risorse.
3. Scegliere Carica un file modello, quindi fare clic su Scegli file per caricare il modello CloudFormation appropriato (modello 1 e 2 di seguito) fornito.
4. Seguire le istruzioni e fare clic su Avanti per completare la creazione dello stack.
5. Dopo aver creato gli stack, passare alla sezione Output. Eseguire gli script nei passaggi 1 e 2 della sezione di output e trasmettere il log da eks a sqs.
6. Nella stessa sezione output prendere nota dell'URL della coda di Role ARN e SQS che verranno usati nel connettore di connessione.

• Modello 1: distribuzione del provider di autenticazione OpenID Connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse del servizio Azure Kubernetes AWS: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta

Per abilitare AWS Security Hub Connector per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• SentinelRoleArn: (ARN del ruolo IAM AWS per l'accesso tra account (ad esempio, arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (URL completo della coda AWS EKS (ad esempio) https://sqs.region.amazonaws.com/account-id/queue-name)

3. Connettersi

Abilitare il connettore AWS EKS.

• Abilitare/disabilitare la connessione

Supportato da:Microsoft Corporation

Questo connettore consente di inserire i log di accesso del server AWS S3 in Microsoft Sentinel. Questi log contengono record dettagliati per le richieste effettuate ai bucket S3, inclusi il tipo di richiesta, l'accesso alle risorse, le informazioni sul richiedente e i dettagli della risposta. Questi log sono utili per analizzare i modelli di accesso, eseguire il debug dei problemi e garantire la conformità alla sicurezza.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Ambiente: è necessario avere le risorse AWS seguenti definite e configurate: bucket S3, servizio di coda semplice (SQS), ruoli IAM e criteri di autorizzazioni.

Istruzioni per l'installazione:

1. AWS CloudFormation Deployment Per configurare l'accesso in AWS, sono stati generati due modelli per configurare l'ambiente AWS per inviare i log da un log di Accesso al server AWS S3 all'area di lavoro Log Analytics.

Distribuire i modelli CloudFormation in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Fare clic su Crea stack e selezionare Con nuove risorse.
3. Scegliere Carica un file modello, quindi fare clic su Scegli file per caricare il modello CloudFormation appropriato fornito.
4. Seguire le istruzioni e fare clic su Avanti per completare la creazione dello stack.
5. Dopo aver creato gli stack, prendere nota dell'URL della coda di Role ARN e SQS.

• Modello 1: distribuzione del provider di autenticazione OpenID Connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse di AWS Server Access: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta Per abilitare AWS S3 Server Access Logs Connector per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Questo connettore consente l'inserimento dei risultati dell'hub di sicurezza AWS, raccolti in bucket AWS S3, in Microsoft Sentinel. Consente di semplificare il processo di monitoraggio e gestione degli avvisi di sicurezza integrando i risultati dell'hub di sicurezza AWS con le funzionalità avanzate di rilevamento delle minacce e risposta di Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Ambiente: è necessario avere le risorse AWS seguenti definite e configurate: Hub di sicurezza AWS, Amazon Data Firehose, Amazon EventBridge, Bucket S3, Servizio Accodamento semplice (SQS), ruoli IAM e criteri di autorizzazioni.

Istruzioni per l'installazione:

1. Aws CloudFormation Deployment Usare i modelli CloudFormation forniti per configurare l'ambiente AWS per l'invio dei log dall'hub di sicurezza AWS all'area di lavoro Log Analytics.

Distribuire i modelli CloudFormation in AWS:

1. Passare ad AWS CloudFormation Stacks.
2. Fare clic su Crea stack e selezionare Con nuove risorse.
3. Scegliere Carica un file modello, quindi fare clic su Scegli file per caricare il modello CloudFormation appropriato fornito.
4. Seguire le istruzioni e fare clic su Avanti per completare la creazione dello stack.
5. Dopo aver creato gli stack, prendere nota dell'URL della coda di Role ARN e SQS.

• Modello 1: distribuzione del provider di autenticazione OpenID Connect: <valore variabile fornito in fase di installazione>
• Modello 2: distribuzione delle risorse dell'hub di sicurezza AWS: <valore variabile fornito in fase di installazione>

2. Connettere nuovi agenti di raccolta Per abilitare AWS Security Hub Connector per Microsoft Sentinel, fare clic sul pulsante Aggiungi nuovo agente di raccolta, compilare le informazioni necessarie nel riquadro di contesto e fare clic su Connetti.

• Griglia connettori dati (configurare nel portale)

Supportato da:Microsoft Corporation

Azure Log attività è un log di sottoscrizione che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione che si verificano in Azure, inclusi gli eventi da dati operativi Azure Resource Manager, gli eventi di integrità del servizio, le operazioni di scrittura eseguite sulle risorse nella sottoscrizione e lo stato delle attività eseguite in Azure. Per altre informazioni, vedere la documentazione di Microsoft Sentinel .

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Supportato da:Microsoft Corporation

Azure Batch Account è un'entità identificata in modo univoco all'interno del servizio Batch. La maggior parte delle soluzioni Batch usa Azure Archiviazione per l'archiviazione di file di risorse e file di output, quindi ogni account Batch è in genere associato a un account di archiviazione corrispondente. Questo connettore consente di trasmettere i log di diagnostica dell'account Azure Batch in Microsoft Sentinel, consentendo di monitorare continuamente l'attività. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica dell'account Azure Batch a Sentinel.

Questo connettore usa Criteri di Azure per applicare una singola configurazione di log streaming dell'account Azure Batch a una raccolta di istanze, definita come ambito. Seguire le istruzioni seguenti per creare e applicare un criterio a tutte le istanze correnti e future. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream log di diagnostica dall'account Azure Batch su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Palo Alto Networks

Cloud Next-Generation Firewall di Palo Alto Networks, un servizio ISV nativo Azure, è Palo Alto Networks Next-Generation Firewall (NGFW) fornito come servizio nativo del cloud in Azure. È possibile individuare Cloud NGFW nel marketplace Azure e usarlo nelle reti virtuali (VNet) Azure. Con Cloud NGFW, è possibile accedere alle funzionalità principali di NGFW, ad esempio App-ID, tecnologie basate sul filtro DEGLI URL. Fornisce la prevenzione e il rilevamento delle minacce tramite servizi di sicurezza forniti dal cloud e firme di prevenzione delle minacce. Il connettore consente di connettere facilmente i log di Cloud NGFW con Microsoft Sentinel, visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo è possibile ottenere maggiori informazioni sulla rete dell'organizzazione e migliorare le funzionalità delle operazioni di sicurezza. Per altre informazioni, vedere la documentazione di Cloud NGFW per Azure.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Istruzioni per l'installazione:

Connettere Cloud NGFW di Palo Alto Networks a Microsoft Sentinel

Abilitare le impostazioni di log in tutti i cloud NGFW di Palo Alto Networks.

All'interno della risorsa NGFW cloud:

1. Passare a Impostazioni log dalla home page.
2. Verificare che la casella di controllo Abilita impostazioni log sia selezionata.
3. Nell'elenco a discesa Impostazioni log scegliere l'area di lavoro Log Analytics desiderata.
4. Confermare le selezioni e le configurazioni.
5. Fare clic su Salva per applicare le impostazioni.

Supportato da:Microsoft Corporation

Ricerca cognitiva di Azure è un servizio di ricerca cloud che offre agli sviluppatori infrastruttura, API e strumenti per la creazione di un'esperienza di ricerca avanzata su contenuti privati eterogenei in applicazioni Web, mobili ed aziendali. Questo connettore consente di trasmettere i log di diagnostica Ricerca cognitiva di Azure in Microsoft Sentinel, consentendo di monitorare continuamente l'attività.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica Ricerca cognitiva di Azure a Sentinel.

Questo connettore usa Criteri di Azure per applicare una singola configurazione di flusso di log Ricerca cognitiva di Azure a una raccolta di istanze, definita come ambito. Seguire le istruzioni seguenti per creare e applicare un criterio a tutte le istanze correnti e future. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream log di diagnostica dal Ricerca cognitiva di Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Microsoft Corporation

Connettersi ai log di Standard protezione DDoS Azure tramite i log di diagnostica degli indirizzi IP pubblici. Oltre alla protezione DDoS principale nella piattaforma, Azure protezione DDoS Standard offre funzionalità avanzate di mitigazione DDoS contro gli attacchi di rete. Viene ottimizzato automaticamente per proteggere le risorse Azure specifiche. La protezione è semplice da abilitare durante la creazione di nuove reti virtuali. Può anche essere eseguita dopo la creazione e non richiede alcuna modifica dell'applicazione o delle risorse. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Supportato da:Microsoft Corporation

Il connettore dati Azure DevOps Audit Logs consente di inserire eventi di controllo da Azure DevOps in Microsoft Sentinel. Questo connettore dati viene creato usando l'Microsoft Sentinel Codeless Connector Framework, garantendo un'integrazione senza problemi. Sfrutta l'API dei log di controllo Azure DevOps per recuperare eventi di controllo dettagliati e supporta le trasformazioni del tempo di inserimento basate su DCR. Queste trasformazioni consentono di analizzare i dati di controllo ricevuti in una tabella personalizzata durante l'inserimento, migliorando le prestazioni delle query eliminando la necessità di analisi aggiuntive. Usando questo connettore, è possibile ottenere una visibilità migliorata nell'ambiente Azure DevOps e semplificare le operazioni di sicurezza.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Azure Prerequisito devOps: verificare quanto segue:
  1. Registrare un'app Entra in Microsoft Entra Amministrazione Center in Registrazioni app.
  2. In "Autorizzazioni API" aggiungere autorizzazioni a "Azure DevOps - vso.auditlog".
  3. In "Certificati & segreti" generare "Segreto client".
  4. In 'Authentication' aggiungere l'URI di reindirizzamento trovato di seguito nel campo corrispondente.
  5. Nelle impostazioni Azure DevOps abilitare il log di controllo e impostare Visualizza log di controllo per l'utente. Azure controllo DevOps.
  6. Verificare che l'utente assegnato per connettere il connettore dati disponga dell'autorizzazione Visualizza log di controllo impostata in modo esplicito su Consenti in qualsiasi momento. Questa autorizzazione è essenziale per il corretto inserimento del log. Se l'autorizzazione viene revocata o non concessa, l'inserimento dei dati avrà esito negativo o verrà interrotto.

Istruzioni per l'installazione:

**Connettersi a Azure DevOps per iniziare a raccogliere i log di controllo in Microsoft Sentinel. **

1. Immettere l'app registrata.
2. Nella sezione "Panoramica" copiare l'ID applicazione (client).
3. Selezionare il pulsante "Endpoint" e copiare il valore "OAuth 2.0 authorization endpoint (v2)" e il valore "OAuth 2.0 token endpoint (v2)".
4. Nella sezione "Certificati & segreti" copiare il "valore segreto client" e archiviarlo in modo sicuro.
5. Specificare le informazioni necessarie di seguito e fare clic su "Connetti".

• Endpoint token: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Endpoint di autorizzazione: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• Endpoint API: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

Supportato da:Microsoft Corporation

Hub eventi di Azure è una piattaforma di streaming di Big Data e un servizio di inserimento di eventi. Può ricevere ed elaborare milioni di eventi al secondo. Questo connettore consente di trasmettere i log di diagnostica dell'hub eventi di Azure in Microsoft Sentinel, consentendo di monitorare continuamente l'attività.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica dell'hub eventi Azure in Sentinel.

Questo connettore usa Criteri di Azure per applicare una singola configurazione di streaming dei log dell'hub eventi Azure a una raccolta di istanze, definite come ambito. Seguire le istruzioni seguenti per creare e applicare un criterio a tutte le istanze correnti e future. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream log di diagnostica dall'hub eventi di Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Microsoft Corporation

Connettersi a Firewall di Azure. Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che protegge le risorse Azure Rete virtuale. Si tratta di un firewall con stato completo come servizio con disponibilità elevata predefinita e scalabilità cloud senza restrizioni. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Supportato da:Microsoft Corporation

Azure Key Vault è un servizio cloud per archiviare e accedere in modo sicuro ai segreti. Un segreto è qualsiasi elemento a cui si vuole controllare strettamente l'accesso, ad esempio chiavi API, password, certificati o chiavi crittografiche. Questo connettore consente di trasmettere i log di diagnostica Azure Key Vault in Microsoft Sentinel, consentendo di monitorare continuamente l'attività in tutte le istanze. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Supportato da:Microsoft Corporation

servizio Azure Kubernetes è un servizio di orchestrazione dei contenitori completamente gestito open source che consente di distribuire, ridimensionare e gestire contenitori Docker e applicazioni basate su contenitori in un ambiente cluster. Questo connettore consente di trasmettere i log di diagnostica servizio Azure Kubernetes (AKS) in Microsoft Sentinel, consentendo di monitorare continuamente l'attività in tutte le istanze. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Supportato da:Microsoft Corporation

Azure App per la logica è una piattaforma basata sul cloud per la creazione e l'esecuzione di flussi di lavoro automatizzati che integrano app, dati, servizi e sistemi. Questo connettore consente di trasmettere i log di diagnostica di app per la logica Azure in Microsoft Sentinel, consentendo di monitorare continuamente l'attività.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica di App per la logica a Sentinel.

Questo connettore usa Criteri di Azure per applicare una singola configurazione di log streaming di App per la logica Azure a una raccolta di istanze, definite come ambito. Seguire le istruzioni seguenti per creare e applicare un criterio a tutte le istanze correnti e future. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream i log di diagnostica dalle app per la logica di Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Microsoft Corporation

Azure Resource Graph connettore offre informazioni più dettagliate sugli eventi Azure integrando i dettagli sulle sottoscrizioni Azure e sulle risorse Azure.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: autorizzazione del ruolo proprietario per le sottoscrizioni Azure

Istruzioni per l'installazione:

Connettere Azure Resource Graph a Microsoft Sentinel

Supportato da:Microsoft Corporation

bus di servizio di Azure è un broker di messaggi aziendali completamente gestito con code di messaggi e argomenti publish-subscribe (in uno spazio dei nomi). Questo connettore consente di trasmettere i log di diagnostica bus di servizio di Azure in Microsoft Sentinel, consentendo di monitorare continuamente l'attività.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica bus di servizio di Azure in Sentinel.

Questo connettore usa Criteri di Azure per applicare una singola configurazione di log streaming bus di servizio di Azure a una raccolta di istanze, definita come ambito. Seguire le istruzioni seguenti per creare e applicare un criterio a tutte le istanze correnti e future. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream log di diagnostica dal bus di servizio di Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Microsoft Corporation

Azure SQL è un motore di database PaaS (Platform-as-a-Service) completamente gestito che gestisce la maggior parte delle funzioni di gestione del database, ad esempio l'aggiornamento, l'applicazione di patch, i backup e il monitoraggio, senza richiedere il coinvolgimento degli utenti. Questo connettore consente di trasmettere i log di controllo e diagnostica dei database di Azure SQL in Microsoft Sentinel, consentendo di monitorare continuamente l'attività in tutte le istanze.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Supportato da:Microsoft Corporation

Azure account di archiviazione è una soluzione cloud per scenari di archiviazione dati moderni. Contiene tutti gli oggetti dati: BLOB, file, code, tabelle e dischi. Questo connettore consente di trasmettere Azure log di diagnostica degli account di archiviazione nell'area di lavoro Microsoft Sentinel, consentendo di monitorare continuamente l'attività in tutte le istanze e rilevare attività dannose nell'organizzazione. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica dell'account di archiviazione Azure in Sentinel.

Questo connettore usa un set di criteri di Azure per applicare una configurazione di flusso di log a una raccolta di istanze, definita come ambito. Seguire le istruzioni seguenti per creare e applicare criteri a tutte le istanze correnti e future. Per sfruttare al massimo la registrazione diagnostica dell'account di archiviazione dall'account di archiviazione Azure, è consigliabile abilitare la registrazione diagnostica da tutti i servizi all'interno dell'account di archiviazione Azure: BLOB, coda, tabella e file. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream log di diagnostica dall'account di archiviazione Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Stream log di diagnostica dal servizio BLOB di archiviazione Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Stream log di diagnostica dal servizio coda di archiviazione Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Stream log di diagnostica dal servizio tabelle di archiviazione Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Stream log di diagnostica dal servizio file di archiviazione Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Microsoft Corporation

Analisi di flusso di Azure è un motore di analisi ed elaborazione di eventi in tempo reale progettato per analizzare ed elaborare quantità elevate di dati trasmessi simultaneamente da più sorgenti. Questo connettore consente di trasmettere i log di diagnostica dell'hub di analisi Azure Stream in Microsoft Sentinel, consentendo di monitorare continuamente l'attività.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Criterio: ruolo proprietario assegnato per ogni ambito di assegnazione dei criteri

Istruzioni per l'installazione:

Connettere i log di diagnostica di Analisi di flusso di Azure a Sentinel.

Questo connettore usa Criteri di Azure per applicare una singola configurazione di log streaming di Analisi di flusso di Azure a una raccolta di istanze, definita come ambito. Seguire le istruzioni seguenti per creare e applicare un criterio a tutte le istanze correnti e future. Si noti che potrebbe essere già presente un criterio attivo per questo tipo di risorsa.

Stream i log di diagnostica da Analisi di flusso di Azure su larga scala

**Avviare l'assegnazione guidata Criteri di Azure e seguire questa procedura. **

1. Nella scheda Informazioni di base fare clic sul pulsante con i tre puntini in Ambito per selezionare la sottoscrizione.
2. Nella scheda Parametri scegliere l'area di lavoro Microsoft Sentinel dall'elenco a discesa Dell'area di lavoro Log Analytics e lasciare contrassegnate come "True" tutte le categorie di log da inserire.
3. Per applicare i criteri alle risorse esistenti, contrassegnare la casella di controllo Crea un'attività di correzione nella scheda Correzione .

Supportato da:Microsoft Corporation

Connettersi al Azure Web application firewall (WAF) per gateway applicazione, frontdoor o rete CDN. Questo WAF protegge le applicazioni da vulnerabilità Web comuni, ad esempio sql injection e scripting intersito, e consente di personalizzare le regole per ridurre i falsi positivi. Durante il processo di installazione vengono visualizzate le istruzioni per trasmettere i log di Microsoft Web Application Firewall in Microsoft Sentinel. Per altre informazioni, vedere la documentazione Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Supportato da:Better Mobile Security Inc.

Better MTD Connector consente alle aziende di connettere le istanze mtd migliori con Microsoft Sentinel, visualizzare i dati nei dashboard, creare avvisi personalizzati, usarlo per attivare playbook ed espandere le funzionalità di ricerca delle minacce. Ciò offre agli utenti maggiori informazioni sui dispositivi mobili dell'organizzazione e la possibilità di analizzare rapidamente l'attuale comportamento di sicurezza dei dispositivi mobili, migliorando così le funzionalità secOps complessive.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Istruzioni per l'installazione:

1. In Better MTD Console (Migliore console MTD) fare clic su Integrazione sulla barra laterale.
2. Selezionare la scheda Altri .
3. Fare clic sul pulsante AGGIUNGI ACCOUNT e selezionare Microsoft Sentinel dalle integrazioni disponibili.
4. Creare l'integrazione:

• impostare su ACCOUNT NAME un nome descrittivo che identifica l'integrazione, quindi fare clic su Avanti
• Immettere e WORKSPACE IDPRIMARY KEY dai campi seguenti, fare clic su Salva
• Fare clic su Fine

5. Configurazione dei criteri di minaccia (quali eventi imprevisti devono essere segnalati a Microsoft Sentinel):

• In Better MTD Console (Migliore console MTD) fare clic su Criteri sulla barra laterale
• Fare clic sul pulsante Modifica dei criteri in uso.
• Per ogni tipo di evento imprevisto che si desidera registrare, passare al campo Invia a integrazioni e selezionare Sentinel

6. Per altre informazioni, vedere la documentazione.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Supportato da:BeyondTrust

Il connettore dati BeyondTrust Privilege Management Cloud offre la possibilità di inserire i log di controllo delle attività e i log eventi client da BeyondTrust PM Cloud in Microsoft Sentinel.

Questo connettore usa Funzioni di Azure per eseguire il pull dei dati dall'API cloud BeyondTrust PM e inserirli nelle tabelle di Log Analytics personalizzate.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• BeyondTrust PM Cloud API credentials :BeyondTrust PM Cloud OAuth Client ID and Client Secret are required(BeyondTrust PM Cloud OAuth Client ID and Client Secret). L'account API richiede le autorizzazioni seguenti: Controllo - Sola lettura e Creazione di report - Sola lettura

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API cloud di BeyondTrust PM per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

NOTA: Questo connettore usa il flusso di credenziali client OAuth 2.0 per eseguire l'autenticazione con l'API cloud BeyondTrust PM.

PASSAGGIO 1 : Ottenere le credenziali dell'API cloud di BeyondTrust PM

Creare un account API nell'istanza di BeyondTrust PM Cloud con le credenziali dell'API OAuth (ID client e segreto client). L'account API richiede le autorizzazioni seguenti:

• Controllo - Sola lettura
• Creazione di report - Sola lettura

PASSAGGIO 2 - Distribuire il connettore e la funzione di Azure associata

Usare questo metodo per la distribuzione automatizzata del connettore dati BeyondTrust PM Cloud usando un modello di Resource Manager.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   portal.azure.com

2. Selezionare la sottoscrizione preferita, il gruppo di risorse (deve contenere l'area di lavoro Log Analytics) e la posizione.

3. Immettere i parametri necessari:

   • Nome area di lavoro: nome dell'area di lavoro Log Analytics (ad esempio, beyondtrust-pmcloud)
   • BeyondTrust PM Cloud Base URL (URL di base cloud di BeyondTrust PM): URL tenant (ad esempio, https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust Client ID(ID client BeyondTrust): ID client OAuth del passaggio 1
   • BeyondTrust Client Secret: Segreto client OAuth del passaggio 1
   • Intervallo di polling dei controlli attività: frequenza di raccolta dei controlli attività (impostazione predefinita: 15 minuti)
   • Intervallo di polling degli eventi client: frequenza di raccolta degli eventi client (impostazione predefinita: 5 minuti)
   • Livello di log: livello di registrazione per la risoluzione dei problemi (impostazione predefinita: Informazioni)
   • Intervallo di tempo dati cronologico: distanza tra la raccolta dei dati alla prima esecuzione (impostazione predefinita: 1 giorno)

4. Esaminare le impostazioni avanzate (SKU piano di hosting, tipo di account di archiviazione) e modificare se necessario.

5. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati sopra.

6. Fare clic su Acquista per distribuire.

7. La distribuzione crea tutte le risorse necessarie: app per le funzioni, account di archiviazione, endpoint di raccolta dati, regole di raccolta dati e tabelle log analytics personalizzate.

8. Il flusso dei dati dovrebbe iniziare entro 15-30 minuti dalla distribuzione.

Supportato da:BigID

Il connettore bigid DSPM dati offre la possibilità di inserire bigID DSPM case con oggetti interessati e informazioni sull'origine dati in Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• BigID DSPM l'accesso all'API: è necessario accedere all'API bigid DSPM tramite un token BigID.

Istruzioni per l'installazione:

Connettersi all'API DSPM BigID per iniziare a raccogliere BigID DSPM casi e oggetti interessati in Microsoft Sentinel

Specificare il nome di dominio BigID, ad esempio "customer.bigid.cloud" e il token BigID. Generare un token nella console BigID tramite Impostazioni -> Gestione accessi -> Utenti:> selezionare Utente e generare un token.

• FQDN BigID: (FQDN BigID)
• Token BigID: (token BigID)
• Abilitare/disabilitare la connessione

Supportato da:Microsoft Corporation

Il connettore dati Bitglass consente di recuperare i log eventi di sicurezza dei servizi Bitglass e altri eventi in Microsoft Sentinel tramite l'API REST. Il connettore consente il recupero degli eventi per valutare i potenziali rischi per la sicurezza, monitorare la collaborazione e diagnosticare e risolvere i problemi di configurazione.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST: BitglassToken e BitglassServiceURL sono necessari per effettuare chiamate API.

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API Archiviazione BLOB di Azure per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati e per l'archiviazione dei dati nei costi di Archiviazione BLOB di Azure. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure e Archiviazione BLOB di Azure pagina dei prezzi.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

NOTA: Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto Bitglass distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Passaggi di configurazione per l'API recupero log Bitglass

Seguire le istruzioni per ottenere le credenziali.

1. Contattare il supporto di Bitglass e ottenere la ntation BitglassToken e BitglassServiceURL .
2. Salvare le credenziali per l'uso nel connettore dati.

PASSAGGIO 2- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati Bitglass, fare in modo che l'ID dell'area di lavoro e la chiave primaria dell'area di lavoro siano copiati da quanto segue.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatizzata del connettore dati Bitglass usando un modello di Resource Manager.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

NOTA: All'interno dello stesso gruppo di risorse, non è possibile combinare app Windows e Linux nella stessa area. Selezionare un gruppo di risorse esistente senza app di Windows o creare un nuovo gruppo di risorse. 3. Immettere BitglassToken, BitglassServiceURL e distribuire. 4. Contrassegnare la casella di controllo etichettata Accetto i termini e le condizioni indicati sopra. 5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Bitglass con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: Sarà necessario preparare vs code per lo sviluppo di funzioni Azure.

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.

2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

3. Selezionare la cartella di primo livello dai file estratti.

4. Scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi a Azure Se si è già connessi, passare al passaggio successivo.

5. Fornire le informazioni seguenti alle richieste:

   a. Selezionare la cartella: Scegliere una cartella dall'area di lavoro o passare a una cartella contenente l'app per le funzioni.

   b. Selezionare Sottoscrizione: Scegliere la sottoscrizione da usare.

   c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

   d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio BitglassXXXXX).

   e. Selezionare un runtime: Scegliere Python 3.11.

   f. Selezionare una posizione per le nuove risorse. Per ottenere prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.

7. Passare a portale di Azuree per la configurazione dell'app per le funzioni.

8. Configurare l'app per le funzioni

9. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.

10. Nella scheda Impostazioni applicazione selezionare Nuova impostazione applicazione.

11. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): BitglassToken BitglassServiceURL WorkspaceID WorkspaceID LogAnalyticsUri (facoltativo)

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:Bitwarden Inc

Questo connettore fornisce informazioni dettagliate sull'attività dell'organizzazione Bitwarden, ad esempio l'attività dell'utente (accesso, password modificata, 2fa e così via), l'attività di crittografia (creata, aggiornata, eliminata, condivisa e così via), l'attività di raccolta, l'attività dell'organizzazione e altro ancora.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• ID client e segreto client bitwarden: la chiave API è disponibile nella console di amministrazione dell'organizzazione bitwarden. Per altre informazioni, vedere la documentazione di Bitwarden .

Istruzioni per l'installazione:

Connettere i log eventi di Bitwarden a Microsoft Sentinel

La chiave API è disponibile nella console di amministrazione dell'organizzazione Bitwarden. Per altre informazioni, vedere la documentazione di Bitwarden . I server Bitwarden self-hosted potrebbero dover riconfigurare l'URL dell'installazione.

• URL identità bitwarden: (https://identity.bitwarden.com)
• URL api bitwarden: (https://api.bitwarden.com)

Supportato dal supporto di:blacklens.io

Il connettore dati blacklens.io consente di inserire gli avvisi di Gestione superficie di attacco da blacklens.io in Microsoft Sentinel usando un'app per la logica basata su webhook e l'API di inserimento log di monitoraggio Azure.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Azure sottoscrizione: le autorizzazioni collaboratore o proprietario per il gruppo di risorse sono necessarie per distribuire l'infrastruttura di inserimento dati (endpoint raccolta dati, regola raccolta dati, tabella personalizzata e app per la logica).
• blacklens.io Account: è necessario un account blacklens.io con funzionalità di integrazione del webhook.

Istruzioni per l'installazione:

Passaggio 1: Distribuire l'infrastruttura di inserimento dati

Questo passaggio distribuisce le risorse Azure necessarie: un endpoint di raccolta dati, una regola di raccolta dati, una tabella log analytics personalizzata (blacklens_CL) e un'app per la logica attivata da webhook.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   portal.azure.com

2. Selezionare la sottoscrizione, il gruppo di risorse e il percorso in cui si trova l'area di lavoro Microsoft Sentinel.

3. Immettere il nome dell'area di lavoro Log Analytics.

4. Fare clic su Rivedi e crea e quindi su Crea.

Passaggio 2: Copiare l'URL del webhook

1. Al termine della distribuzione, fare clic sulla scheda Output nella pagina di distribuzione.
2. Copiare il valore webhookUrl .

In alternativa, passare a Panoramica di App >la-blacklens-alert-log-ingestion> per la logica e copiare l'URL del flusso di lavoro.

Passaggio 3 - Configurare blacklens.io

1. Accedere al portale di blacklens.io.
2. Passare alle impostazioni di integrazione del webhook.
3. Incollare l'URL del webhook copiato nel passaggio 2.
4. Salvare la configurazione.
5. Collegare l'integrazione del webhook ad almeno un criterio di notifica in modo che gli avvisi vengano inviati al webhook.

Dopo alcuni minuti, un evento imprevisto di test dovrebbe essere visualizzato in Microsoft Sentinel.

Supportato da:Microsoft Corporation

Il connettore dati Box consente di inserire gli eventi aziendali di Box in Microsoft Sentinel usando l'API REST Box. Per altre informazioni, vedere la documentazione di Box .

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati: Attualmente non supportato

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali DELL'API Box: il file JSON di configurazione box è necessario per l'autenticazione JWT dell'API REST Box. Per altre informazioni, vedere Autenticazione JWT.

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API REST Box per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.

NOTA: Questo connettore dipende da un parser basato sulla funzione Kusto per funzionare come previsto BoxEvents che viene distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Configurazione della raccolta di eventi Box

Vedere la documentazione per configurare l'autenticazione JWT e ottenere il file JSON con le credenziali.

PASSAGGIO 2- Scegliere UNO tra le due opzioni di distribuzione seguenti per distribuire il connettore e la funzione Azure associata

IMPORTANTE: Prima di distribuire il connettore dati Box, fare in modo che l'ID area di lavoro e la chiave primaria dell'area di lavoro (che possono essere copiati da quanto segue) e il file di configurazione JSON box siano immediatamente disponibili.

• ID area di lavoro: <valore variabile fornito in fase di installazione>
• Chiave primaria: <valore variabile fornito in fase di installazione>

Opzione 1 - Modello Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati Box usando un modello arm.

1. Fare clic sul pulsante Distribuisci in Azure di seguito.

   aka.ms

2. Selezionare la sottoscrizione, il gruppo di risorse e la località preferiti.

3. Immettere AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati sopra.

5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Box con Funzioni di Azure (distribuzione tramite Visual Studio Code).

Passaggio 1 - Distribuire un'app per le funzioni

1. Scaricare il file dell'app per le funzioni Azure. Estrarre l'archivio nel computer di sviluppo locale.
2. Seguire le istruzioni di distribuzione manuale dell'app per le funzioni per distribuire l'app Funzioni di Azure usando VSCode.
3. Dopo aver completato la distribuzione dell'app per le funzioni, seguire i passaggi successivi per configurarla.

Passaggio 2- Configurare l'app per le funzioni

1. Passare a portale di Azuree per la configurazione dell'app per le funzioni.
2. Nell'app per le funzioni selezionare nome dell'app per le funzioni e selezionare Configurazione.
3. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
4. Aggiungere ognuna delle impostazioni dell'applicazione seguenti singolarmente, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (facoltativo)

• Usare logAnalyticsUri per eseguire l'override dell'endpoint DELL'API log analytics per il cloud dedicato. Ad esempio, per il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

5. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Supportato da:Microsoft Corporation

Il connettore dati Box consente di inserire gli eventi aziendali di Box in Microsoft Sentinel usando l'API REST Box. Per altre informazioni, vedere la documentazione di Box .

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Credenziali dell'API Box: l'API Box richiede un ID client di Box App e un segreto client per l'autenticazione. Per altre informazioni, vedere Concessione delle credenziali client
• ID Box Enterprise: Per effettuare la connessione è necessario l'ID Box Enterprise. Vedere la documentazione per trovare l'ID enterprise

Istruzioni per l'installazione:

NOTA: Questo connettore usa Codeless Connecor Platform (CCF) per connettersi all'API REST Box per eseguire il pull dei log in Microsoft Sentinel.

NOTA: Questo connettore dipende da un parser basato sulla funzione Kusto per funzionare come previsto BoxEvents che viene distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Creare un'applicazione personalizzata Box

Vedere la documentazione per configurare l'autenticazione delle credenziali client

PASSAGGIO 2 - Acquisire i valori di ID client e segreto client

Potrebbe essere necessario configurare 2FA per recuperare il segreto.

PASSAGGIO 3 - Grab Box Enterprise ID da Box Amministrazione Console

Vedere la documentazione per trovare l'ID enterprise

Connettersi a Box per iniziare a raccogliere i log eventi in Microsoft Sentinel

Specificare i valori necessari di seguito:

• ID box enterprise: (123456)

Supportato da:Check Point

Il connettore dati CloudGuard consente l'inserimento di eventi di sicurezza dall'API CloudGuard in Microsoft Sentinel ™, usando codeless connector framework di Microsoft Sentinel. Il connettore supporta trasformazioni del tempo di inserimento basate su DCR che analizzano i dati degli eventi di sicurezza in ingresso in colonne personalizzate. Questo processo di pre-analisi elimina la necessità di analisi in tempo di query, con conseguente miglioramento delle prestazioni per le query sui dati.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Chiave API CloudGuard: vedere le istruzioni fornite qui per generare una chiave API.

Istruzioni per l'installazione:

Connettere gli eventi di sicurezza di CloudGuard a Microsoft Sentinel

Per abilitare il connettore CloudGuard per Microsoft Sentinel, immettere le informazioni necessarie di seguito e selezionare Connetti.

• ID chiave API: (api_key)
• Segreto della chiave API: (api_secret)
• URL endpoint CloudGuard: (ad esempio https://api.dome9.com)
• Filtro: (Incolla filtro da CloudGuard)
• Abilitare/disabilitare la connessione

Supportato da:Cyberint

Cyberint, un'azienda Check Point, offre un'integrazione Microsoft Sentinel per semplificare gli avvisi critici e portare l'intelligence sulle minacce arricchita dalla soluzione Infinity External Risk Management in Microsoft Sentinel. Ciò semplifica il processo di rilevamento dello stato dei ticket con gli aggiornamenti di sincronizzazione automatica nei sistemi. Usando questa nuova integrazione per Microsoft Sentinel, i clienti esistenti di Cyberint e Microsoft Sentinel possono eseguire facilmente il pull dei log in base ai risultati di Cyberint nella piattaforma Microsoft Sentinel.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Check Point Chiave API Cyberint, URL Argos e Nome cliente: sono necessari la chiave API del connettore, l'URL Argos e il nome del cliente

Istruzioni per l'installazione:

Connettere gli avvisi cyberint del checkpoint a Microsoft Sentinel

Per abilitare il connettore, specificare le informazioni necessarie di seguito e fare clic su Connetti.

URL Argos - URL dell'API Cyberint per il tenant (ad esempio https://your_tenant.cyberint.io) Token API - Token API Cyberint - Nome cliente del token di accesso dell'API Cyberint - Nome società (client) associato agli ambienti dell'istanza Cyberint : elenco delimitato da virgole degli ambienti da recuperare. Se vuoto, tutti gli ambienti vengono recuperati.\n\nGravità : elenco delimitato da virgole di gravità da recuperare (basso, medio, alto, very_high). Se vuoto, vengono recuperate tutte le gravità.\n\nIntervallo di polling - Frequenza di polling per i nuovi avvisi, in minuti (impostazione predefinita: 5)\n\nIncludere allegati CSV come JSON - Indica se includere allegati CSV come contenuto JSON negli avvisi (impostazione predefinita: false)

• URL Argos: (https://your_tenant.cyberint.io)
• Token API: (token di accesso all'API Cyberint)
• Nome cliente: (nome società (client) associato all'istanza di Cyberint)
• Ambienti: (elenco delimitato da virgole (ad esempio Produzione, Staging))
• Gravità: (elenco delimitato da virgole (ad esempio basso, medio, alto, very_high))
• Intervallo di polling (minuti): (frequenza di polling in minuti)
• Includere allegati CSV come JSON: (true o false)
• Abilitare/disabilitare la connessione

Supportato da:Cyberint

Cyberint, una società Check Point, offre un'integrazione Microsoft Sentinel per inserire gli indicatori di compromissione (IOC) dalla soluzione Infinity External Risk Management in Microsoft Sentinel. Questo connettore esegue automaticamente il pull del feed IOC giornaliero, inclusi indirizzi IP, domini, URL e hash di file dannosi, arricchiti con contesto di minaccia, ad esempio gravità, attendibilità e attività rilevata.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Check Point Chiave API Cyberint, URL Argos e Nome cliente: sono necessari la chiave API del connettore, l'URL Argos e il nome del cliente

Istruzioni per l'installazione:

Connettere Check Point feed Cyberint IOC a Microsoft Sentinel

Per abilitare il connettore, specificare le informazioni necessarie di seguito e fare clic su Connetti.

URL Argos - URL dell'API Cyberint per il tenant (ad esempio https://your_tenant.cyberint.io) Token API - Nome cliente del token di accesso dell'API Cyberint - Nome società (client) associato all'istanza cyberint

• URL Argos: (https://your-company.cyberint.io)
• Token API: (token API)
• Nome cliente: (nome società (client) associato all'istanza di Cyberint)
• Abilitare/disabilitare la connessione

Supportato da:Microsoft Corporation

Il connettore firewall Cisco ASA consente di connettere facilmente i log di Cisco ASA con Microsoft Sentinel, visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. In questo modo è possibile ottenere maggiori informazioni sulla rete dell'organizzazione e migliorare le funzionalità delle operazioni di sicurezza.

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Per raccogliere dati da macchine virtuali non Azure, devono avere Azure Arc installato e abilitato. Altre informazioni

Istruzioni per l'installazione:

Abilitare la regola di raccolta dati

I log eventi di Cisco ASA/FTD vengono raccolti solo dagli agenti Linux.

• Install Agent: <valore variabile fornito in fase di installazione>

Eseguire il comando seguente per installare e applicare l'agente di raccolta Cisco ASA/FTD:

• Valore: <valore variabile fornito in fase di installazione>

Supportato da:Microsoft Corporation

La soluzione Cisco Cloud Security per Microsoft Sentinel consente di inserire i logdi Cisco Secure Access e Cisco Umbrella archiviati in Amazon S3 in Microsoft Sentinel usando l'API REST di Amazon S3. Per altre informazioni, vedere la documentazione sulla gestione dei log di Cisco Cloud Security .

Tabelle di Log Analytics:

Supporto delle regole di raccolta dati:Trasformazione DCR dell'area di lavoro

Prerequisiti:

• Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni, vedere Funzioni di Azure.
• Credenziali/autorizzazioni dell'API REST di Amazon S3: ID chiave di accesso AWS, chiave di accesso segreto AWS, nome del bucket AWS S3 sono necessari per l'API REST di Amazon S3.

Istruzioni per l'installazione:

NOTA: Questo connettore usa Funzioni di Azure per connettersi all'API REST di Amazon S3 per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento di dati. Per informazioni dettagliate, controllare la pagina dei prezzi Funzioni di Azure.

NOTA: Questo connettore è stato aggiornato per supportare lo schema del log di Cisco Cloud Security versione 14.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app Funzioni di Azure.

NOTA: questo connettore usa un parser basato su una funzione Kusto per normalizzare i campi. Seguire questa procedura per creare l'alias della funzione Kusto Cisco_Umbrella.