Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat alle ondersteunde, out-of-the-box gegevensconnectors en koppelingen naar de implementatiestappen van elke connector.
Belangrijk
- Houd er rekening mee dat Microsoft Sentinel gegevensconnectors momenteel in preview zijn. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
- Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarding uitgevoerd en omgeleid naar de Defender-portal. Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden. Zie It's Time to Move: De Azure Portal van Microsoft Sentinel wordt buiten gebruik gesteld voor meer informatie voor meer informatie.
Gegevensconnectors zijn beschikbaar als onderdeel van de volgende aanbiedingen:
Oplossingen: Veel gegevensconnectors worden geïmplementeerd als onderdeel van Microsoft Sentinel oplossing, samen met gerelateerde inhoud, zoals analyseregels, werkmappen en playbooks. Zie de catalogus met Microsoft Sentinel oplossingen voor meer informatie.
Community-connectors: meer gegevensconnectors worden geleverd door de Microsoft Sentinel-community en vindt u in de Azure Marketplace. Documentatie voor connectoren voor communitygegevens is de verantwoordelijkheid van de organisatie die de connector heeft gemaakt.
Aangepaste connectors: Als u een gegevensbron hebt die niet wordt vermeld of momenteel wordt ondersteund, kunt u ook uw eigen, aangepaste connector maken. Zie Resources voor het maken van Microsoft Sentinel aangepaste connectors voor meer informatie.
Opmerking
Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.
Vereisten voor gegevensconnector
Elke gegevensconnector heeft een eigen set vereisten. Vereisten zijn mogelijk specifieke machtigingen voor uw Azure werkruimte, abonnement of beleid. Mogelijk moet u ook voldoen aan andere vereisten voor de partnergegevensbron waarmee u verbinding maakt.
Vereisten voor elke gegevensconnector worden vermeld in dit artikel en op de relevante pagina van de gegevensconnector in Microsoft Sentinel.
Azure AMA-gegevensconnectors (Monitor agent) vereisen een internetverbinding van het systeem waarop de agent is geïnstalleerd. Schakel poort 443 uitgaand in om een verbinding toe te staan tussen het systeem waarop de agent is geïnstalleerd en Microsoft Sentinel.
Syslog- en CEF-connectors (Common Event Format)
Het verzamelen van logboeken van veel beveiligingsapparaten en apparaten wordt ondersteund door de gegevensconnectors Syslog via AMA of CEF (Common Event Format) via AMA in Microsoft Sentinel. Als u gegevens wilt doorsturen naar uw Log Analytics-werkruimte voor Microsoft Sentinel, voert u de stappen in Syslog- en CEF-berichten opnemen uit om te Microsoft Sentinel met de Azure Monitor-agent. Deze stappen omvatten het installeren van de Microsoft Sentinel-oplossing voor een beveiligingsapparaat of -apparaat vanuit de inhoudshub in Microsoft Sentinel. Configureer vervolgens de Syslog via AMA of Cef (Common Event Format) via AMA-gegevensconnector die geschikt is voor de Microsoft Sentinel oplossing die u hebt geïnstalleerd. Voltooi de installatie door het beveiligingsapparaat of -apparaat te configureren. In een van de volgende artikelen vindt u instructies voor het configureren van uw beveiligingsapparaat of -apparaat:
- CEF via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor Microsoft Sentinel gegevensopname
- Syslog via AMA-gegevensconnector - Specifiek apparaat of apparaat configureren voor Microsoft Sentinel gegevensopname
Neem contact op met de oplossingsprovider voor meer informatie of waar informatie niet beschikbaar is voor het apparaat of apparaat.
Aangepaste logboeken via AMA-connector
Filter en neem logboeken op in tekstbestandsindelingen van netwerk- of beveiligingstoepassingen die zijn geïnstalleerd op Windows- of Linux-machines met behulp van de aangepaste logboeken via de AMA-connector in Microsoft Sentinel. Zie de volgende artikelen voor meer informatie:
- Logboeken van tekstbestanden verzamelen met de Azure Monitor-agent en opnemen in Microsoft Sentinel
- Aangepaste logboeken via AMA-gegevensconnector - Gegevensopname configureren voor Microsoft Sentinel van specifieke toepassingen
Sentinel gegevensconnectors
Opmerking
De volgende tabel bevat de gegevensconnectors die beschikbaar zijn in de hub Microsoft Sentinel Inhoud. De connectors worden ondersteund door de productleverancier. Zie de koppeling Ondersteund door voor ondersteuning.
Tip
Zie Microsoft Sentinel tabellen en gekoppelde connectors voor een lijst met tabellen die zijn opgenomen in Microsoft Sentinel en de connectors die deze opnemen.
1Wachtwoord (serverloos)
Ondersteund door:1Wachtwoord
Met de 1Password CCF-connector kan de gebruiker gebeurtenissen 1Password Audit, Signin & ItemUsage opnemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OnePasswordEventLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- 1Wachtwoord-API-token: er is een 1Wachtwoord-API-token vereist. Zie de 1Password-documentatie over het maken van een API-token.
Installatie-instructies:
STAP 1: een 1Password-API-token maken:
Volg de 1Password-documentatie voor hulp bij deze stap.
STAP 2: kies de juiste basis-URL:
Er zijn meerdere 1Password-servers die uw gebeurtenissen kunnen hosten. De juiste server is afhankelijk van uw licentie en regio. Volg de documentatie van 1Password om de juiste server te kiezen. Voer de basis-URL in zoals weergegeven in de documentatie (inclusief 'https://' en zonder '/').
STAP 3- Voer uw 1Wachtwoorddetails in:
Voer hieronder de 1Password-basis-URL & API-token in:
- Basis-URL: (Voer uw basis-URL in)
- API-token: (Voer uw API-token in)
- Verbinding in-/uitschakelen
1Wachtwoord (met Azure Functions)
Ondersteund door:1Wachtwoord
Met de 1Password-oplossing voor Microsoft Sentinel kunt u aanmeldingspogingen, itemgebruik en controlegebeurtenissen van uw 1Password Business-account opnemen met behulp van de 1Password Events Reporting-API. Hiermee kunt u gebeurtenissen in 1Password in Microsoft Sentinel bewaken en onderzoeken, samen met de andere toepassingen en services die uw organisatie gebruikt.
Gebruikte onderliggende Microsoft-technologieën:
Deze oplossing is afhankelijk van de volgende technologieën, waarvan sommige mogelijk de preview-status hebben of extra opname- of operationele kosten met zich meebrengen:
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OnePasswordEventLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- 1 Api-token voor wachtwoord-gebeurtenissen: er is een API-token voor 1Wachtwoord-gebeurtenissen vereist. Zie de 1Password-API voor meer informatie.
Opmerking: Een 1Password Business-account is vereist
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met 1Password om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname van Azure. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de 1Password Events Reporting API
Volg deze instructies van 1Password om een Event Reporting API-token te verkrijgen. Opmerking: Een 1Password Business-account is vereist
STAP 2: De functieApp implementeren met de knop DeployToAzure om de tabel, dcr en de bijbehorende Azure-functie te maken
BELANGRIJK: Voordat u de 1Password-connector implementeert, moet er een aangepaste tabel worden gemaakt.
Optie 1: arm-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de 1Password-connector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimtenaam, werkruimtenaam, 1WACHTWOORD-API-sleutel en URI in.
- Het standaardtijdsinterval is ingesteld op vijf (5) minuten. Als u het interval wilt wijzigen, kunt u de timertrigger voor de functie-app dienovereenkomstig aanpassen (in het function.json-bestand na de implementatie) om overlappende gegevensopname te voorkomen.
- Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
AbnormalSecurity (met behulp van Azure-functie)
Ondersteund door:Abnormale beveiliging
De connector voor abnormale beveiligingsgegevens biedt de mogelijkheid om bedreigings- en caselogboeken op te nemen in Microsoft Sentinel met behulp van de Abnormal Security Rest API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Nee | Nee |
ABNORMAL_CASES_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Abnormale beveiligings-API token: een abnormaal beveiligings-API token is vereist. Zie Abnormale beveiligings-API voor meer informatie. Opmerking: Een abnormaal beveiligingsaccount is vereist
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de REST API van Abnormal Security om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
STAP 1: configuratiestappen voor de abnormale beveiligings-API
Volg deze instructies van Abnormal Security om de REST API-integratie te configureren. Opmerking: Een abnormaal beveiligingsaccount is vereist
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de connector voor abnormale beveiligingsgegevens implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), evenals het abnormale beveiligings-API autorisatietoken, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de connector abnormale beveiliging met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de Microsoft Sentinel Werkruimte-id, Microsoft Sentinel Gedeelde sleutel en Abnormal Security REST API-sleutel in.
- Het standaardtijdsinterval is ingesteld op het ophalen van de laatste vijf (5) minuten aan gegevens. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de abnormale beveiligingsgegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld AbnormalSecurityXX).
e. Selecteer een runtime: Kies Python 3.8.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (optioneel) (voeg andere instellingen toe die zijn vereist voor de functie-app) Stel de
uriwaarde in op:<add uri value>
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie over Azure Key Vault verwijzingen voor meer informatie.
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde in de volgende indeling op:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Agent 365
Ondersteund door:Microsoft Corporation
Agent 365 gegevensconnector biedt uitgebreidere inzichten in de activiteit van AI-agents door telemetrie van AI-agent uit Agent 365, AI Foundry en Copilot in de Microsoft Sentinel Data Lake te brengen om het gedrag van agents, het gebruik van hulpprogramma's en uitvoering te onderzoeken met opsporings-, grafiek- en MCP-werkstromen. Gegevens van deze connector worden gebruikt om het gedrag van de AI-agent, het gebruik van hulpprogramma's en de uitvoering in Microsoft Sentinel te onderzoeken. Als u deze werkstromen hebt ingeschakeld, voorkomt u dat deze onderzoeken worden uitgevoerd als u deze connector deactiveert.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
AIShield
Ondersteund door:AIShield
Met DE AIShield-connector kunnen gebruikers verbinding maken met aangepaste aiShield-mechanismelogboeken met Microsoft Sentinel, waardoor dynamische dashboards, werkmappen, notebooks en op maat gemaakte waarschuwingen kunnen worden gemaakt om onderzoek te verbeteren en aanvallen op AI-systemen te verhinderen. Het biedt gebruikers meer inzicht in de beveiliging van AI-assets van hun organisatie en verbetert de beveiligingsmogelijkheden van hun AI-systemen. AIShield.GuArdIan analyseert de door LLM gegenereerde inhoud om schadelijke inhoud te identificeren en te beperken, en beschermt tegen juridische, beleids-, rol- en gebruiksgebaseerde schendingen
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AIShield_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Opmerking: gebruikers moeten AIShield SaaS-aanbieding hebben gebruikt om beveiligingsproblemen te analyseren en aangepaste verdedigingsmechanismen te implementeren die samen met hun AI-asset worden gegenereerd. Klik hier voor meer informatie of neem contact op.
Installatie-instructies:
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht AIShield dat wordt geïmplementeerd met de Microsoft Sentinel Solution.
BELANGRIJK: Voordat u de AIShield-connector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Alibaba Cloud ActionTrail (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Alibaba Cloud ActionTrail-gegevensconnector biedt de mogelijkheid om actiontrail-gebeurtenissen op te halen die zijn opgeslagen in Alibaba Cloud Simple Log Service en deze op te slaan in Microsoft Sentinel via de SLS REST API. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AliCloudActionTrailLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
-
SLS REST API-referenties/-machtigingen: AliCloudAccessKeyId en AliCloudAccessKeySecret zijn vereist voor het maken van API-aanroepen. RAM-beleidsverklaring met actie van ten minste
log:GetLogStoreLogsover resourceacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}is nodig om een RAM-gebruiker de machtigingen te verlenen om deze bewerking aan te roepen.
Installatie-instructies:
Toegang tot AliCloud SLS API configureren
Voordat u de API gebruikt, moet u uw identiteitsaccount en toegangssleutelpaar voorbereiden om effectief toegang te krijgen tot de API.
- U wordt aangeraden een RAM-gebruiker (Resource Access Management) te gebruiken om API-bewerkingen aan te roepen. Zie Een RAM-gebruiker maken en de RAM-gebruiker toegang verlenen tot Simple Log Service voor meer informatie.
- Haal het toegangssleutelpaar op voor de RAM-gebruiker. Zie Toegangssleutelpaar ophalen voor meer informatie.
Noteer de details van het toegangssleutelpaar voor de volgende stap.
ActionTrail-logboekopslag toevoegen
Als u de Alibaba Cloud ActionTrail-connector voor Microsoft Sentinel wilt inschakelen, klikt u op actionTrail-logboekopslag toevoegen, vult u het formulier in met de configuratie van de Alibaba Cloud-omgeving en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Alibaba Cloud Networking Data Connector (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Alibaba Cloud Networking-gegevensconnector biedt de mogelijkheid om Alibaba Cloud-netwerkgegevens op te nemen in Microsoft Sentinel via de REST API van Simple Log Service (SLS). Raadpleeg de API-documentatie voor meer informatie. De connector biedt de mogelijkheid om VPC-stroomlogboeken, WAF-logboeken en API Gateway-logboeken op te halen uit Alibaba Cloud.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AlibabaCloudVPCFlowLogs |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Alibaba Cloud SLS API-toegang: Alibaba Cloud Simple Log Service-toegang is vereist voor de SLS-API.
Installatie-instructies:
Toegang tot AliCloud SLS API configureren
Voordat u de API gebruikt, moet u uw identiteitsaccount en toegangssleutelpaar voorbereiden om effectief toegang te krijgen tot de API.
- U wordt aangeraden een RAM-gebruiker (Resource Access Management) te gebruiken om API-bewerkingen aan te roepen. Zie Een RAM-gebruiker maken en de RAM-gebruiker toegang verlenen tot Simple Log Service voor meer informatie.
- Haal het toegangssleutelpaar op voor de RAM-gebruiker. Zie Toegangssleutelpaar ophalen voor meer informatie.
Noteer de details van het toegangssleutelpaar voor de volgende stap.
- Raster van gegevensconnectors (configureren in de portal)
AliCloud (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De AliCloud-gegevensconnector biedt de mogelijkheid om logboeken van cloudtoepassingen op te halen met behulp van de Cloud-API en gebeurtenissen op te slaan in Microsoft Sentinel via de REST API. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AliCloud_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: AliCloudAccessKeyId en AliCloudAccessKey zijn vereist voor het maken van API-aanroepen.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Azure Blob Storage API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht AliCloud die is geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: configuratiestappen voor de AliCloud-API
Volg de instructies om de referenties te verkrijgen.
- Haal de AliCloudAccessKeyId en AliCloudAccessKey op: meld u aan bij het account, klik op AccessKey Management en klik vervolgens op Geheim weergeven.
- Sla referenties op voor gebruik in de gegevensconnector.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de AliCloud-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor automatische implementatie van de AliCloud-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects en AppInsightsWorkspaceResourceID in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de AliCloud-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld AliCloudXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): WorkspaceID WorkspaceKey AliCloudAccessId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Amazon Web Services
Ondersteund door:Microsoft Corporation
Instructies voor het maken van verbinding met AWS en het streamen van uw CloudTrail-logboeken naar Microsoft Sentinel worden weergegeven tijdens het installatieproces. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSCloudTrail |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Amazon Web Services CloudFront (via Codeless Connector Framework) (preview)
Ondersteund door:Microsoft Corporation
Deze gegevensconnector maakt de integratie van AWS CloudFront-logboeken met Microsoft Sentinel mogelijk ter ondersteuning van geavanceerde detectie van bedreigingen, onderzoek en beveiligingsbewaking. Door Amazon S3 te gebruiken voor logboekopslag en Amazon SQS voor het in de wachtrij plaatsen van berichten, neemt de connector cloudfront-toegangslogboeken betrouwbaar op in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
AWS CloudFront-logboeken opnemen in Microsoft Sentinel
Lijst met resources vereist:
- OIDC-web-id-provider (Open ID Connect)
- IAM-rol
- Amazon S3-bucket
- Amazon SQS
- AWS CloudFront-configuratie
- AWS CloudFormation-implementatie Om toegang op AWS te configureren, zijn er twee sjablonen gegenereerd om de AWS-omgeving in te stellen voor het verzenden van logboeken van een S3-bucket naar uw Log Analytics-werkruimte.
Maak voor elke sjabloon Stack in AWS:
- Ga naar AWS CloudFormation Stacks.
- Kies de optie 'Sjabloon opgeven' en vervolgens 'Een sjabloonbestand uploaden' door op Bestand kiezen te klikken en het juiste CloudFormation-sjabloonbestand te selecteren dat hieronder wordt weergegeven. klik op Bestand kiezen en selecteer de gedownloade sjabloon.
- Klik op 'Volgende' en 'Stack maken'.
- Sjabloon 1: Implementatie van OpenID Connect-verificatie: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWSCloudFront-resources: <variabele waarde opgegeven tijdens de installatie>
- Nieuwe verzamelaars verbinden Als u AWS S3 wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Elastische taakverdeling van Amazon Web Services (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de ELB-connector (Elastic Load Balancing) van AWS voor Microsoft Sentinel kunt u toegangslogboeken en stroomlogboeken van AWS Application Load Balancers (ALB), Network Load Balancers (NLB) en Gateway Load Balancers (GLB) opnemen in Microsoft Sentinel. Deze logboeken bieden gedetailleerde informatie over aanvragen die worden verwerkt door uw load balancers en VPC-verkeersstromen, waardoor beveiligingsbewaking, detectie van bedreigingen en verkeersanalyse mogelijk zijn.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSALBAccessLogsData |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- AWS IAM-rol ARN- en SQS-wachtrij: een AWS IAM-rol-ARN met toegang voor meerdere accounts en een SQS-wachtrij-URL die is geconfigureerd voor S3-gebeurtenismeldingen zijn vereist. Zie de documentatie voor DE AWS ELB-connector voor installatie-instructies.
Installatie-instructies:
- AWS CloudFormation-implementatie Als u toegang op AWS wilt configureren, gebruikt u CloudFormation-sjablonen om de omgeving in te stellen voor het verzenden van logboeken van ALB, NLB en GLB naar uw Log Analytics-werkruimte.
Implementatiestappen:
- Ga naar cloudformatiesjablonen en download de JSON-sjabloonbestanden.
- Ga naar AWS CloudFormation Stacks.
- Implementeer eerst de sjabloon OIDCWebIdProvider.json (sla over als u al een OIDC-provider voor Microsoft Sentinel hebt).
- Implementeer vervolgens de sjabloon AWSS3ELB.json met uw parameters.
- Noteer de volgende waarden uit de stack-uitvoer:
IAMRoleArnALBSQSQueueURLNLBSQSQueueURLNLBFlowLogsSQSQueueURLGLBFlowLogsSQSQueueURL
Configuratie na implementatie:
Zodra de CloudFormation-stack is geïmplementeerd:
- Ga naar het tabblad Resources in de stack.
- Zoek de naam van de gemaakte S3-bucket.
- Maak in de S3-bucket handmatig de volgende mappen:
ALBLogsNLBAccessLogsNLBFlowLogsGLBFlowLogs
Logboeken verzenden:
Nadat de map is gemaakt, configureert u uw AWS-services om logboeken naar de juiste mappen te verzenden:
- ALB-toegangslogboeken ->
ALBLogs/ - NLB-toegangslogboeken ->
NLBAccessLogs/ - NLB-stroomlogboeken ->
NLBFlowLogs/ - GLB-stroomlogboeken ->
GLBFlowLogs/
Deze logboeken worden opgenomen in de bijbehorende tabellen in uw Log Analytics-werkruimte.
Tabeltoewijzing:
- ALB-toegangslogboeken ->
AWSALBAccessLogsData - NLB-toegangslogboeken ->
AWSNLBAccessLogsData - NLB- en GLB-stroomlogboeken ->
AWSELBFlowLogsData
Opmerking: In de
AWSELBFlowLogsDatatabel geeft een kolom met de naamLogTypeaan of een rij afkomstig is uit NLB-stroomlogboeken of GLB-stroomlogboeken.
- Nieuwe verzamelaars verbinden Als u de connector wilt inschakelen, klikt u op Nieuwe collector toevoegen, voert u de vereiste gegevens in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Amazon Web Services NetworkFirewall (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met deze gegevensconnector kunt u AWS Network Firewall-logboeken opnemen in Microsoft Sentinel voor geavanceerde detectie van bedreigingen en beveiligingsbewaking. Door gebruik te maken van Amazon S3 en Amazon SQS stuurt de connector netwerkverkeerslogboeken, waarschuwingen voor inbraakdetectie en firewallgebeurtenissen door naar Microsoft Sentinel, waardoor realtime-analyse en correlatie met andere beveiligingsgegevens mogelijk is
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSNetworkFirewallFlow |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
AWS NetworkFirewall-logboeken opnemen in Microsoft Sentinel
Lijst met resources vereist:
- OIDC-web-id-provider (Open ID Connect)
- IAM-rol
- Amazon S3-bucket
- Amazon SQS
- AWSNetworkFirewall-configuratie
- Volg deze instructies voor de configuratie van aws NetworkFirewall-gegevensconnector
- AWS CloudFormation-implementatie Om toegang op AWS te configureren, zijn er twee sjablonen gegenereerd om de AWS-omgeving in te stellen voor het verzenden van logboeken van een S3-bucket naar uw Log Analytics-werkruimte.
Maak voor elke sjabloon Stack in AWS:
- Ga naar AWS CloudFormation Stacks.
- Kies de optie 'Sjabloon opgeven' en vervolgens 'Een sjabloonbestand uploaden' door op Bestand kiezen te klikken en het juiste CloudFormation-sjabloonbestand te selecteren dat hieronder wordt weergegeven. klik op Bestand kiezen en selecteer de gedownloade sjabloon.
- Klik op 'Volgende' en 'Stack maken'.
- Sjabloon 1: Implementatie van OpenID Connect-verificatie: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWSNetworkFirewall-resources: <variabele waarde opgegeven tijdens de installatie>
- Nieuwe verzamelaars verbinden Als u AWS S3 wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Amazon Web Services S3
Ondersteund door:Microsoft Corporation
Met deze connector kunt u AWS-servicelogboeken, verzameld in AWS S3-buckets, opnemen om te Microsoft Sentinel. De momenteel ondersteunde gegevenstypen zijn:
- AWS CloudTrail
- VPC-stroomlogboeken
- AWS GuardDuty
- AWSCloudWatch
Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSGuardDuty |
Ja | Ja |
AWSVPCFlow |
Ja | Ja |
AWSCloudTrail |
Ja | Ja |
AWSCloudWatch |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Omgeving: U moet de volgende AWS-resources hebben gedefinieerd en geconfigureerd: S3, Simple Queue Service (SQS), IAM-rollen en machtigingenbeleid en de AWS-services waarvan u de logboeken wilt verzamelen.
Installatie-instructies:
1. Uw AWS-omgeving instellen
Er zijn twee opties voor het instellen van uw AWS-omgeving om logboeken van een S3-bucket naar uw Log Analytics-werkruimte te verzenden:
Instellen met PowerShell-script (aanbevolen)
- Script uitvoeren om de omgeving in te stellen: <variabele waarde opgegeven tijdens de installatie>
- Externe id (werkruimte-id):< variabele waarde opgegeven tijdens de installatie>
Handmatige installatie
Volg de instructies in de volgende koppeling om de omgeving in te stellen: Verbinding maken met AWS S3 met Microsoft Sentinel
2. Verbinding toevoegen
Amazon Web Services S3 DNS Route53 (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Deze connector maakt opname van AWS Route 53 DNS-logboeken in Microsoft Sentinel mogelijk voor verbeterde zichtbaarheid en detectie van bedreigingen. Het ondersteunt querylogboeken van DNS Resolver die rechtstreeks vanuit AWS S3-buckets worden opgenomen, terwijl openbare DNS-querylogboeken en Route 53-auditlogboeken kunnen worden opgenomen met behulp van de AWS CloudWatch- en CloudTrail-connectors van Microsoft Sentinel. Er worden uitgebreide instructies gegeven om u te begeleiden bij het instellen van elk logboektype. Gebruik deze connector om DNS-activiteit te bewaken, potentiële bedreigingen te detecteren en uw beveiligingspostuur in cloudomgevingen te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSRoute53Resolver |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
AWS Route53
Deze connector maakt opname van AWS Route 53 DNS-logboeken in Microsoft Sentinel mogelijk, waardoor meer inzicht in DNS-activiteit wordt geboden en de mogelijkheden voor detectie van bedreigingen worden versterkt. Het ondersteunt directe opname van querylogboeken van DNS Resolver van AWS S3-buckets, terwijl openbare DNS-querylogboeken en Route 53-auditlogboeken kunnen worden opgenomen via de AWS CloudWatch- en CloudTrail-connectors van Microsoft Sentinel. Voor elk logboektype worden gedetailleerde installatie-instructies gegeven. Gebruik deze connector om DNS-verkeer te bewaken, mogelijke bedreigingen te identificeren en uw cloudbeveiligingspostuur te verbeteren.
U kunt het volgende type logboeken opnemen van AWS Route 53 naar Microsoft Sentinel:
- Querylogboeken route 53 Resolver
- Querylogboeken voor openbare gehoste zones route 53 (via Microsoft Sentinel CloudWatch-connector)
- Auditlogboeken route 53 (via Microsoft Sentinel CloudTrail-connector)
Logboeken van Route53 Resolver-query's opnemen in Microsoft Sentinel
Lijst met resources vereist:
- OIDC-web-id-provider (Open ID Connect)
- IAM-rol
- Amazon S3-bucket
- Amazon SQS
- Configuratie voor logboekregistratie van Route 53 Resolver-query's
- VPC om te koppelen aan configuratie van route53-resolver-querylogboek
- AWS CloudFormation-implementatie Om toegang op AWS te configureren, zijn er twee sjablonen gegenereerd om de AWS-omgeving in te stellen voor het verzenden van logboeken van een S3-bucket naar uw Log Analytics-werkruimte.
Maak voor elke sjabloon Stack in AWS:
- Ga naar AWS CloudFormation Stacks.
- Kies de optie 'Sjabloon opgeven' en vervolgens 'Een sjabloonbestand uploaden' door op Bestand kiezen te klikken en het juiste CloudFormation-sjabloonbestand te selecteren dat hieronder wordt weergegeven. klik op Bestand kiezen en selecteer de gedownloade sjabloon.
- Klik op 'Volgende' en 'Stack maken'.
- Sjabloon 1: Implementatie van OpenID Connect-verificatie: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWS Route53-resources: <variabele waarde opgegeven tijdens de installatie>
- Nieuwe verzamelaars verbinden Als u Amazon Web Services S3 DNS Route53 wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste informatie in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Querylogboeken voor openbare gehoste zones van Route 53 opnemen (via Microsoft Sentinel CloudWatch-connector)
Querylogboeken voor openbare gehoste zones worden geëxporteerd naar de CloudWatch-service in AWS. We kunnen de 'Amazon Web Services S3'-connector gebruiken om CloudWatch-logboeken van AWS op te nemen in Microsoft Sentinel.
Stap 1: logboekregistratie configureren voor openbare DNS-query's
- Meld u aan bij de AWS-beheerconsole en open de Route 53-console op AWS Route 53.
- Navigeer naar Gehoste zones van Route 53 > .
- Kies de openbare gehoste zone waarvoor u querylogboekregistratie wilt configureren.
- Klik in het deelvenster Details van gehoste zone op Querylogboekregistratie configureren.
- Kies een bestaande logboekgroep of maak een nieuwe logboekgroep.
- Kies Create.
Stap 2: Amazon Web Services S3-gegevensconnector configureren voor AWS CloudWatch
AWS CloudWatch-logboeken kunnen worden geëxporteerd naar een S3-bucket met behulp van de lambda-functie. Als u openbare DNS-query's wilt opnemen van AWS CloudWatch naar S3 bucket en vervolgens naar Microsoft Sentinel, volgt u de instructies in de Amazon Web Services S3-connector.
Auditlogboeken van Route 53 opnemen (via Microsoft Sentinel CloudTrail-connector)
Route 53-auditlogboeken, d.w.z. de logboeken met betrekking tot acties die zijn uitgevoerd door de gebruiker, rol of AWS-service in Route 53, kunnen worden geëxporteerd naar een S3-bucket via AWS CloudTrail-service. We kunnen de 'Amazon Web Services S3'-connector gebruiken om CloudTrail-logboeken van AWS op te nemen in Microsoft Sentinel.
Stap 1: logboekregistratie configureren voor AWS Route 53-auditlogboeken
- Meld u aan bij de AWS-beheerconsole en open de CloudTrail-console bij AWS CloudTrail
- Als u geen bestaand pad hebt, klikt u op 'Trail maken'
- Voer een naam in voor uw trail in het veld Trailnaam.
- Selecteer Nieuwe S3-bucket maken (u kunt er ook voor kiezen om een bestaande S3-bucket te gebruiken).
- Laat de overige instellingen als standaard staan en klik op Volgende.
- Selecteer Gebeurtenistype en controleer of Beheer-gebeurtenissen is geselecteerd.
- Selecteer API-activiteit, 'Lezen' en 'Schrijven'
- Klik op Volgende.
- Controleer de instellingen en klik op 'Trail maken'.
Stap 2: Amazon Web Services S3-gegevensconnector configureren voor AWS CloudTrail
Als u audit- en beheerlogboeken wilt opnemen van AWS CloudTrail naar Microsoft Sentinel, volgt u de instructies in de Amazon Web Services S3-connector
Amazon Web Services S3 WAF
Ondersteund door:Microsoft Corporation
Met deze connector kunt u AWS WAF-logboeken, verzameld in AWS S3-buckets, opnemen om te Microsoft Sentinel. AWS WAF-logboeken zijn gedetailleerde records van verkeer die ACL's (webtoegangsbeheerlijsten) analyseren, die essentieel zijn voor het onderhouden van de beveiliging en prestaties van webtoepassingen. Deze logboeken bevatten informatie zoals het tijdstip waarop AWS WAF de aanvraag heeft ontvangen, de details van de aanvraag en de actie die is ondernomen door de regel die overeenkomt met de aanvraag.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSWAF |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
- AWS CloudFormation-implementatie Om toegang op AWS te configureren, zijn er twee sjablonen gegenereerd om de AWS-omgeving in te stellen voor het verzenden van logboeken van een S3-bucket naar uw Log Analytics-werkruimte.
Maak voor elke sjabloon Stack in AWS:
- Ga naar AWS CloudFormation Stacks.
- Kies de optie 'Sjabloon opgeven' en vervolgens 'Een sjabloonbestand uploaden' door op Bestand kiezen te klikken en het juiste CloudFormation-sjabloonbestand te selecteren dat hieronder wordt weergegeven. klik op Bestand kiezen en selecteer de gedownloade sjabloon.
- Klik op 'Volgende' en 'Stack maken'.
- Sjabloon 1: Implementatie van OpenID Connect-verificatie: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: IMPLEMENTATIE VAN AWS WAF-resources: <variabele waarde opgegeven tijdens de installatie>
- Nieuwe verzamelaars verbinden Als u AWS S3 wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Anvilogic
Ondersteund door:Anvilogic
Met de Anvilogic-gegevensconnector kunt u interessante gebeurtenissen ophalen die zijn gegenereerd in het Anvilogic ADX-cluster in uw Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Anvilogic_Alerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Client-id en clientgeheim van Anvilogic Application Registration: voor toegang tot de Anvilogic ADX hebben we de client-id en het clientgeheim van de Anvilogic-app-registratie nodig
Installatie-instructies:
Maak verbinding met Anvilogic om te beginnen met het verzamelen van belangrijke gebeurtenissen in Microsoft Sentinel
Vul het formulier in om Anvilogic-waarschuwingen op te nemen in uw Microsoft Sentinel
- Tokeneindpunt: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
- Anvilogic ADX-bereik: (<avl_adx_uri>/.default)
- Anvilogic ADX-aanvraag-URI: (<avl_adx_uri>/v2/rest/query)
ARGOS Cloud Security
Ondersteund door:ARGOS Cloud Security
Met de ARGOS Cloud Security-integratie voor Microsoft Sentinel kunt u al uw belangrijke cloudbeveiligingsevenementen op één plaats hebben. Hierdoor kunt u eenvoudig dashboards, waarschuwingen maken en gebeurtenissen in meerdere systemen correleren. Over het algemeen verbetert dit de beveiligingspostuur van uw organisatie en de reactie op beveiligingsincidenten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ARGOS_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
1. Abonneren op ARGOS
Zorg ervoor dat u al een ARGOS-abonnement hebt. Zo niet, bladert u naar ARGOS Cloud Security en meldt u zich aan bij ARGOS.
U kunt ook ARGOS kopen via de Azure Marketplace.
2. Sentinel-integratie configureren vanuit ARGOS
Configureer ARGOS om nieuwe detecties door te sturen naar uw Sentinel werkruimte door ARGOS te voorzien van uw werkruimte-id en primaire sleutel.
U hoeft geen aangepaste infrastructuur te implementeren.
Voer de gegevens in op de configuratiepagina van ARGOS Sentinel.
Nieuwe detecties worden automatisch doorgestuurd.
Meer informatie over de integratie
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Activiteiten voor Armis-waarschuwingen (met behulp van Azure Functions)
Ondersteund door:Armis Corporation
De Armis Alerts Activities-connector biedt de mogelijkheid om Armis-waarschuwingen en -activiteiten op te nemen in Microsoft Sentinel via de Armis REST API. Raadpleeg de API-documentatie: https://<YourArmisInstance>.armis.com/api/v1/docs voor meer informatie. De connector biedt de mogelijkheid om waarschuwings- en activiteitsgegevens op te halen van het Armis-platform en bedreigingen in uw omgeving te identificeren en prioriteit te geven. Armis gebruikt uw bestaande infrastructuur om apparaten te detecteren en te identificeren zonder agents te hoeven implementeren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Armis_Alerts_CL |
Nee | Nee |
Armis_Activities_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
REST API-referenties/-machtigingen: Armis Secret Key is vereist. Zie de documentatie voor meer informatie over API op de
https://<YourArmisInstance>.armis.com/api/v1/doc
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Armis-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u log analytics/Microsoft Sentinel blade Logboeken, klikt u op Functies en zoekt u naar de alias ArmisActivities/ArmisAlerts en laadt u de functiecode. Het duurt meestal 10-15 minuten om de functie te activeren na installatie/update van de oplossing.
STAP 1: configuratiestappen voor de Armis-API
Volg deze instructies om een geheime sleutel voor de Armis-API te maken.
- Meld u aan bij uw Armis-exemplaar
- Ga naar Instellingen -> API Management
- Als de geheime sleutel nog niet is gemaakt, drukt u op de knop Maken om de geheime sleutel te maken
- Druk op de knop Weergeven om toegang te krijgen tot de geheime toets
- De geheime sleutel kan nu worden gekopieerd en gebruikt tijdens de configuratie van de Armis Alerts Activities-connector
STAP 2: stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van Armis Alerts Activities Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 3: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van Armis Alerts Activities Data Connector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van Armis Alerts Activities Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 4: de rol van inzender toewijzen aan toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 5: Een keyvault maken
Volg deze instructies om een nieuwe Keyvault te maken.
- Ga in de Azure Portal naar Sleutelkluizen. Klik op maken.
- Selecteer Subsciption, Resource group en geef de unieke naam van de sleutelkluis op.
OPMERKING: maak een afzonderlijke sleutelkluis voor elke API-sleutel in één werkruimte.
STAP 6: Toegangsbeleid maken in Keyvault
Volg deze instructies om toegangsbeleid te maken in Keyvault.
- Ga naar keyvaults, selecteer uw sleutelkluis en ga naar Toegangsbeleid in het linkerdeelvenster. Klik op maken.
- Selecteer alle sleutels & machtigingen voor geheimen. Klik op Volgende.
- Zoek in de principal-sectie op de naam van de toepassing die is gegenereerd in STAP 2. Klik op Volgende.
OPMERKING: Zorg ervoor dat het machtigingsmodel in de toegangsconfiguratie van Key Vault is ingesteld op Kluistoegangsbeleid
STAP 7: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de gegevensconnector voor Armis-waarschuwingen implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties) direct beschikbaar hebben.., evenals de Autorisatiesleutel(s) van de Armis-API
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor automatische implementatie van de Armis-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Functienaam Werkruimte-id Werkruimtesleutel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Naam van armis-waarschuwingstabel
Ernst van armis-activiteitstabel (standaard: laag) Armis Schedule KeyVault-naam Azure client-id Azure tenant-id clientgeheimMarkeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de gegevensconnector voor Armis-waarschuwingen handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld ARMISXXXXX).
e. Selecteer een runtime: Python 3.11 kiezen
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende waarden (hoofdlettergevoelig): Werkruimte-id Werkruimtesleutel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name Armis Activity Table Name (standaard: Laag) Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Armis-apparaten (met Azure Functions)
Ondersteund door:Armis Corporation
De Armis Device-connector biedt de mogelijkheid om Armis-apparaten op te nemen in Microsoft Sentinel via de Armis REST API. Raadpleeg de API-documentatie: https://<YourArmisInstance>.armis.com/api/v1/docs voor meer informatie. De connector biedt de mogelijkheid om apparaatgegevens op te halen uit het Armis-platform. Armis gebruikt uw bestaande infrastructuur om apparaten te detecteren en te identificeren zonder agents te hoeven implementeren. Armis kan ook worden geïntegreerd met uw bestaande IT-& hulpprogramma's voor beveiligingsbeheer om elk apparaat, beheerd of onbeheerd in uw omgeving, te identificeren en te classificeren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Armis_Devices_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
REST API-referenties/-machtigingen: Armis Secret Key is vereist. Zie de documentatie voor meer informatie over API op de
https://<YourArmisInstance>.armis.com/api/v1/doc
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Armis-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Volg deze stappen om de Kusto Functions-alias ArmisDevice te maken
STAP 1: configuratiestappen voor de Armis-API
Volg deze instructies om een geheime sleutel voor de Armis-API te maken.
- Meld u aan bij uw Armis-exemplaar
- Ga naar Instellingen -> API Management
- Als de geheime sleutel nog niet is gemaakt, drukt u op de knop Maken om de geheime sleutel te maken
- Druk op de knop Weergeven om toegang te krijgen tot de geheime toets
- De geheime sleutel kan nu worden gekopieerd en gebruikt tijdens de configuratie van de Armis-apparaatconnector
STAP 2: stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van Armis Device Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 3: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van Armis Device Data Connector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van Armis Device Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 4: de rol van inzender toewijzen aan toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 5: Een keyvault maken
Volg deze instructies om een nieuwe Keyvault te maken.
- Ga in de Azure Portal naar Sleutelkluizen. Klik op maken.
- Selecteer Subsciption, Resource group en geef de unieke naam van de sleutelkluis op.
OPMERKING: maak een afzonderlijke sleutelkluis voor elke API-sleutel in één werkruimte.
STAP 6: Toegangsbeleid maken in Keyvault
Volg deze instructies om toegangsbeleid te maken in Keyvault.
- Ga naar keyvaults, selecteer uw sleutelkluis en ga naar Toegangsbeleid in het linkerdeelvenster. Klik op maken.
- Selecteer alle sleutels & machtigingen voor geheimen. Klik op Volgende.
- Zoek in de principal-sectie op de naam van de toepassing die is gegenereerd in STAP 2. Klik op Volgende.
OPMERKING: Zorg ervoor dat het machtigingsmodel in de toegangsconfiguratie van Key Vault is ingesteld op Kluistoegangsbeleid
STAP 7: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Armis Device-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) direct beschikbaar.., evenals de Autorisatiesleutel(s) van de Armis-API
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor automatische implementatie van de Armis-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande gegevens in: Functienaam Werkruimte-id Werkruimtesleutel Armis Geheim Sleutel Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Armis Device-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld ARMISXXXXX).
e. Selecteer een runtime: Python 3.11 kiezen
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende waarden (hoofdlettergevoelig): Werkruimte-id Werkruimtesleutel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client-id Azure Client Secret Tenant Id logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Atlassian Beacon-waarschuwingen
Ondersteund door:DEFEND Ltd.
Atlassian Beacon is een cloudproduct dat is gebouwd voor intelligente detectie van bedreigingen op de Atlassian-platforms (Jira, Confluence en Atlassian Beheer). Dit kan gebruikers helpen bij het detecteren, onderzoeken en reageren op riskante gebruikersactiviteit voor de Atlassian-suite met producten. De oplossing is een aangepaste gegevensconnector van DEFEND Ltd. die wordt gebruikt om de waarschuwingen te visualiseren die zijn opgenomen van Atlassian Beacon naar Microsoft Sentinel via een logische app.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
atlassian_beacon_alerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
1. Microsoft Sentinel
Navigeer naar de zojuist geïnstalleerde logische app Atlassian Beacon Integration
Navigeer naar Ontwerpfunctie voor logische apps
Vouw de 'Wanneer een HTTP-aanvraag wordt ontvangen' uit
Kopieer de HTTP POST-URL
2. Atlassian Beacon
Aanmelden bij Atlassian Beacon met een beheerdersaccount
Navigeer naar 'SIEM-doorsturen' onder INSTELLINGEN
Plak de gekopieerde URL uit de logische app in het tekstvak
Klik op de knop Opslaan
3. Testen en valideren
Aanmelden bij Atlassian Beacon met een beheerdersaccount
Navigeer naar 'SIEM-doorsturen' onder INSTELLINGEN
Klik op de knop Testen direct naast de zojuist geconfigureerde webhook
Navigeer naar Microsoft Sentinel
Navigeer naar de zojuist geïnstalleerde logische app
Controleer op de uitvoering van de logische app onder 'Uitvoeringsgeschiedenis'
Controleren op logboeken onder de tabelnaam 'atlassian_beacon_alerts_CL' in 'Logboeken'
Als de analyseregel is ingeschakeld, moet de bovenstaande testwaarschuwing een incident hebben gemaakt in Microsoft Sentinel
Atlassian Confluence Audit (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Atlassian Confluence Audit-gegevensconnector biedt de mogelijkheid om Confluence Audit Records-gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ConfluenceAuditLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot de Atlassian Confluence-API: toestemming van Confluence beheren is vereist om toegang te krijgen tot de Confluence Audit-logboeken-API. Zie Confluence API-documentatie voor meer informatie over de audit-API.
Installatie-instructies:
Maak verbinding met de Atlassian Confluence-API om auditlogboeken te verzamelen in Microsoft Sentinel
Als u de Atlassian Confluence-connector wilt inschakelen voor Microsoft Sentinel, klikt u om een organisatie toe te voegen, vult u het formulier in met de confluence-omgevingsreferenties en klikt u op Verbinding maken. Volg deze stappen om een API-token te maken.
- Raster van gegevensconnectors (configureren in de portal)
Atlassian Jira Audit (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Atlassian Jira Audit-gegevensconnector biedt de mogelijkheid om Jira Audit Records-gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Jira_Audit_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: JiraAccessToken, JiraUsername is vereist voor REST API. Zie API voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Jira REST API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Volg deze stappen om de Kusto-functiealias, JiraAudit, te maken
STAP 1: configuratiestappen voor de Jira-API
Volg de instructies om de referenties te verkrijgen.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de werkruimtegegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Jira Audit-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer het JiraAccessToken, JiraUsername, JiraHomeSiteName (kort sitenaamonderdeel, als voorbeeld HOMESITENAME van https://community.atlassian.com) in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Jira Audit-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld JiraAuditXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Atlassian Jira Audit (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Atlassian Jira Audit-gegevensconnector biedt de mogelijkheid om Jira Audit Records-gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Jira_Audit_v2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot atlassian Jira API: toestemming van Jira beheren is vereist om toegang te krijgen tot de Jira Audit logs API. Zie Jira API-documentatie voor meer informatie over de audit-API.
Installatie-instructies:
Als u de Atlassian Jira-connector wilt inschakelen voor Microsoft Sentinel, klikt u om een organisatie toe te voegen, vult u het formulier in met de Jira-omgevingsreferenties en klikt u op Verbinding maken. Volg deze stappen om een API-token te maken.
- Raster van gegevensconnectors (configureren in de portal)
Auth0-logboeken (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de Auth0-gegevensconnector kunnen logboeken van de Auth0-API worden opgenomen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework. De Auth0-API wordt gebruikt om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen beveiligingsgegevens worden geparseerd in een aangepaste tabel, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Auth0Logs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
STAP 1: configuratiestappen voor de Auth0 Management-API
Volg de instructies om de referenties te verkrijgen.
- Ga in Auth0 Dashboard naar [Toepassingen > toepassingen]
- Selecteer uw toepassing. Dit moet een [Machine-to-Machine]-toepassing zijn die is geconfigureerd met ten minste [read:logs] en [read:logs_users] machtigingen.
- Kopiëren [Domein, ClientID, Clientgeheim]
-
BASIS-API-URL: (
https://example.auth0.com) - Client-id: (client-id)
- Clientgeheim: (API-token)
- Verbinding in-/uitschakelen
Geautomatiseerde logische webCTRL
Ondersteund door:Microsoft Corporation
U kunt de auditlogboeken streamen vanaf de WebCTRL SQL-server die wordt gehost op Windows-computers die zijn verbonden met uw Microsoft Sentinel. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft inzicht in uw industriële controlesystemen die worden bewaakt of beheerd door de WebCTRL BAS-toepassing.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Event |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
1. Installeer en onboard de Microsoft-agent voor Windows.
Meer informatie over het instellen van agents en het onboarden van Windows-gebeurtenissen.
U kunt deze stap overslaan als u de Microsoft-agent voor Windows al hebt geïnstalleerd
2. Windows-taak configureren om de controlegegevens te lezen en naar Windows-gebeurtenissen te schrijven
Installeer en configureer de geplande Windows-taak om de auditlogboeken in SQL te lezen en te schrijven als Windows-gebeurtenissen. Deze Windows-gebeurtenissen worden verzameld door de agent en doorgestuurd naar Microsoft Sentinel.
U ziet dat de gegevens van alle computers worden opgeslagen in de geselecteerde werkruimte
2.1 Kopieer de installatiebestanden naar een locatie op de server.
2.2 Werk de ALC-WebCTRL-AuditPull.ps1 (gekopieerd in de bovenstaande stap) scriptparameters bij, zoals de naam van de doeldatabase en windows-gebeurtenis-id's. Raadpleeg opmerkingen in het script voor meer informatie.
2.3 Werk de windows-taakinstellingen bij in het ALC-WebCTRL-AuditPullTaskConfig.xml-bestand dat in de bovenstaande stap is gekopieerd op basis van vereisten. Raadpleeg opmerkingen in het bestand voor meer informatie.
2.4 Windows-taken installeren met behulp van de bijgewerkte configuraties die in de bovenstaande stappen zijn gekopieerd
- Voer de volgende opdracht uit in PowerShell vanuit de map waar de installatiebestanden worden gekopieerd in stap 2.1: <variabele waarde opgegeven tijdens de installatie>
3. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het gebeurtenisschema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, valideert u de onderstaande stappen voor eventuele runtimeproblemen:
Zorg ervoor dat de geplande taak is gemaakt en de status Wordt uitgevoerd in de Windows Task Scheduler.
Controleren op taakuitvoeringsfouten op het tabblad Geschiedenis in Windows Task Scheduler voor de zojuist gemaakte taak in stap 2.4
Zorg ervoor dat de SQL-audittabel nieuwe records bevat terwijl de geplande Windows-taak wordt uitgevoerd.
AWS EKS-gegevensconnector (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De AWS EKS-gegevensconnector biedt de mogelijkheid om auditlogboeken van Amazon Elastic Kubernetes Service op te nemen in Microsoft Sentinel. Deze connector is gericht op EKS-auditlogboeken (JSON-indeling) die gedetailleerde informatie bevatten over API-serveraanvragen, verificatiebeslissingen en clusteractiviteiten. De connector maakt gebruik van AWS SQS om meldingen te ontvangen wanneer nieuwe auditlogboekbestanden worden geëxporteerd naar S3, wat zorgt voor realtime beveiligingsbewaking en nalevingstracking voor uw Kubernetes-clusters.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSEKSLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
1. AWS CloudFormation-implementatie
Gebruik de opgegeven CloudFormation-sjablonen om de AWS-omgeving te configureren voor het verzenden van logboeken van AWS EKS naar uw Log Analytics-werkruimte.
CloudFormation-sjablonen implementeren in AWS:
- Navigeer naar de AWS CloudFormation Stacks.
- Klik op Stack maken en selecteer Met nieuwe resources.
- Kies Een sjabloonbestand uploaden en klik vervolgens op Bestand kiezen om de juiste CloudFormation-sjabloon (sjabloon 1 en 2 hieronder) te uploaden.
- Volg de aanwijzingen en klik op Volgende om het maken van de stack te voltooien.
- Nadat de stapels zijn gemaakt, navigeert u naar de sectie Uitvoer . Voer de scripts in stap 1 en 2 uit vanuit de uitvoersectie, het streamlogboek van eks naar sqs.
- Noteer in dezelfde uitvoersectie de URL van de rol-ARN- en SQS-wachtrij die worden gebruikt in de verbindingsconnector.
- Sjabloon 1: Implementatie van OpenID Connect-verificatieprovider: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: IMPLEMENTATIE van AWS EKS-resources: <variabele waarde opgegeven tijdens de installatie>
2. Nieuwe verzamelaars verbinden
Als u AWS Security Hub Connector wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
- SentinelRoleArn: (De AWS IAM-rol ARN voor toegang tussen accounts (bijvoorbeeld arn:aws:iam::123456789012:role/SentinelRole))
- SentinelSQSQueueURL: (De volledige AWS EKS-wachtrij-URL (bijvoorbeeld https://sqs.region.amazonaws.com/account-id/queue-name))
3. Verbinding maken
Schakel de AWS EKS-connector in.
- Verbinding in-/uitschakelen
AWS S3 Server Access Logs (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met deze connector kunt u AWS S3 Server Access-logboeken opnemen in Microsoft Sentinel. Deze logboeken bevatten gedetailleerde records voor aanvragen voor S3-buckets, waaronder het type aanvraag, de resource die is geopend, informatie over aanvragers en antwoorddetails. Deze logboeken zijn handig voor het analyseren van toegangspatronen, het opsporen van problemen en het garanderen van naleving van de beveiliging.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSS3ServerAccess |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Omgeving: U moet de volgende AWS-resources hebben gedefinieerd en geconfigureerd: S3 Bucket, Simple Queue Service (SQS), IAM-rollen en machtigingenbeleid.
Installatie-instructies:
- AWS CloudFormation-implementatie Voor het configureren van toegang op AWS zijn twee sjablonen gegenereerd om de AWS-omgeving in te stellen om logboeken van een AWS S3 Server Access-logboeken naar uw Log Analytics-werkruimte te verzenden.
CloudFormation-sjablonen implementeren in AWS:
- Navigeer naar de AWS CloudFormation Stacks.
- Klik op Stack maken en selecteer Met nieuwe resources.
- Kies Een sjabloonbestand uploaden en klik vervolgens op Bestand kiezen om de juiste CloudFormation-sjabloon te uploaden.
- Volg de aanwijzingen en klik op Volgende om het maken van de stack te voltooien.
- Nadat de stacks zijn gemaakt, noteert u de ROL-ARN en DE SQS-wachtrij-URL.
- Sjabloon 1: Implementatie van OpenID Connect-verificatieprovider: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWS-servertoegangsresources: <variabele waarde opgegeven tijdens de installatie>
- Nieuwe collectors verbinden Om AWS S3 Server Access Logs Connector in te schakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste informatie in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
AWS Security Hub Findings (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met deze connector kunnen AWS Security Hub-bevindingen, die worden verzameld in AWS S3-buckets, worden opgenomen in Microsoft Sentinel. Het helpt het proces voor het bewaken en beheren van beveiligingswaarschuwingen te stroomlijnen door AWS Security Hub Findings te integreren met de geavanceerde detectie- en reactiemogelijkheden van Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AWSSecurityHubFindings |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Omgeving: u moet de volgende AWS-resources hebben gedefinieerd en geconfigureerd: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), IAM-rollen en machtigingenbeleid.
Installatie-instructies:
- AWS CloudFormation-implementatie Gebruik de meegeleverde CloudFormation-sjablonen om de AWS-omgeving te configureren voor het verzenden van logboeken van AWS Security Hub naar uw Log Analytics-werkruimte.
CloudFormation-sjablonen implementeren in AWS:
- Navigeer naar de AWS CloudFormation Stacks.
- Klik op Stack maken en selecteer Met nieuwe resources.
- Kies Een sjabloonbestand uploaden en klik vervolgens op Bestand kiezen om de juiste CloudFormation-sjabloon te uploaden.
- Volg de aanwijzingen en klik op Volgende om het maken van de stack te voltooien.
- Nadat de stacks zijn gemaakt, noteert u de ROL-ARN en DE SQS-wachtrij-URL.
- Sjabloon 1: Implementatie van OpenID Connect-verificatieprovider: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWS Security Hub-resources: <variabele waarde opgegeven tijdens de installatie>
- Nieuwe verzamelaars verbinden Als u AWS Security Hub Connector wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Azure-activiteit
Ondersteund door:Microsoft Corporation
Azure activiteitenlogboek is een abonnementslogboek dat inzicht biedt in gebeurtenissen op abonnementsniveau die zich voordoen in Azure, waaronder gebeurtenissen uit Azure Resource Manager operationele gegevens, servicestatusgebeurtenissen, schrijfbewerkingen voor de resources in uw abonnement en de status van activiteiten die in Azure worden uitgevoerd. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureActivity |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Azure Batch-account
Ondersteund door:Microsoft Corporation
Azure Batch Account is een uniek geïdentificeerde entiteit binnen de Batch-service. De meeste Batch-oplossingen gebruiken Azure Storage voor het opslaan van resourcebestanden en uitvoerbestanden, zodat elk Batch-account meestal is gekoppeld aan een bijbehorend opslagaccount. Met deze connector kunt u de diagnostische logboeken van uw Azure Batch account streamen naar Microsoft Sentinel, zodat u continu activiteiten kunt bewaken. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Koppel de diagnostische logboeken van uw Azure Batch-account aan Sentinel.
Deze connector maakt gebruik van Azure Policy om één Azure Batch configuratie voor het streamen van accountlogboeken toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om een beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Mogelijk hebt u al een actief beleid voor dit resourcetype.
Stream diagnostische logboeken van uw Azure Batch-account op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure CloudNGFW by Palo Alto Networks
Ondersteund door:Palo Alto Networks
Cloud Next-Generation Firewall van Palo Alto Networks - een Azure Native ISV-service - is Palo Alto Networks Next-Generation Firewall (NGFW) die wordt geleverd als een cloudeigen service op Azure. U kunt Cloud NGFW ontdekken in de Azure Marketplace en deze gebruiken in uw Azure Virtuele netwerken (VNet). Met Cloud NGFW hebt u toegang tot de belangrijkste NGFW-mogelijkheden, zoals App-ID, op URL-filtering gebaseerde technologieën. Het biedt bedreigingspreventie en -detectie via cloudbeveiligingsservices en handtekeningen voor bedreigingspreventie. Met de connector kunt u eenvoudig uw Cloud NGFW-logboeken verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden. Zie de documentatie cloud-NGFW voor Azure voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
fluentbit_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Cloud NGFW by Palo Alto Networks verbinden met Microsoft Sentinel
Logboekinstellingen inschakelen voor alle cloud-NGFW's van Palo Alto Networks.
In uw Cloud NGFW-resource:
- Ga vanaf de startpagina naar de logboekinstellingen .
- Zorg ervoor dat het selectievakje Logboekinstellingen inschakelen is ingeschakeld.
- Kies in de vervolgkeuzelijst Logboekinstellingen de gewenste Log Analytics-werkruimte.
- Bevestig uw selecties en configuraties.
- Klik op Opslaan om de instellingen toe te passen.
Azure Cognitive Search
Ondersteund door:Microsoft Corporation
Azure Cognitive Search is een cloudzoekservice die ontwikkelaars infrastructuur, API's en hulpprogramma's biedt voor het bouwen van een uitgebreide zoekervaring voor privé-, heterogene inhoud in web-, mobiele en zakelijke toepassingen. Met deze connector kunt u uw Azure Cognitive Search diagnostische logboeken streamen naar Microsoft Sentinel, zodat u continu activiteiten kunt bewaken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Verbind uw Azure Cognitive Search diagnostische logboeken in Sentinel.
Deze connector gebruikt Azure Policy om één Azure Cognitive Search configuratie voor logboekstreaming toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om een beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Mogelijk hebt u al een actief beleid voor dit resourcetype.
Stream diagnostische logboeken van uw Azure Cognitive Search op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure DDoS Protection
Ondersteund door:Microsoft Corporation
Maak verbinding met Azure DDoS Protection Standard-logboeken via diagnostische logboeken voor openbare IP-adressen. Naast de DDoS-kernbeveiliging in het platform biedt Azure DDoS Protection Standard geavanceerde DDoS-beperkingsmogelijkheden tegen netwerkaanvallen. Deze wordt automatisch afgestemd om uw specifieke Azure resources te beschermen. Beveiliging is eenvoudig in te schakelen tijdens het maken van nieuwe virtuele netwerken. Dit kan ook worden gedaan na het maken en vereist geen wijzigingen in de toepassing of resource. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Azure DevOps-auditlogboeken (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de Azure DevOps Audit Logs data connector kunt u auditgebeurtenissen van Azure DevOps opnemen in Microsoft Sentinel. Deze gegevensconnector is gebouwd met behulp van het Microsoft Sentinel Codeless Connector Framework en zorgt voor naadloze integratie. Het maakt gebruik van de Azure DevOps Audit Logs API om gedetailleerde controlegebeurtenissen op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties. Met deze transformaties kunnen de ontvangen controlegegevens tijdens opname in een aangepaste tabel worden geparsereerd, waardoor de queryprestaties worden verbeterd doordat er geen extra parsering meer nodig is. Met deze connector kunt u meer inzicht krijgen in uw Azure DevOps-omgeving en uw beveiligingsbewerkingen stroomlijnen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ADOAuditLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
-
Azure DevOps-vereiste: zorg voor het volgende:
1. Registreer een Entra App in Microsoft Entra Beheer Center onder App-registraties.
2. Voeg in 'API-machtigingen' machtigingen toe aan 'Azure DevOps - vso.auditlog'.
3. In 'Certificaten & geheimen' - genereer 'Clientgeheim'.
4. Voeg in 'Verificatie' de omleidings-URI toe die u hieronder vindt in het bijbehorende veld.
5. Schakel in de Azure DevOps-instellingen auditlogboek in en stel Auditlogboek weergeven in voor de gebruiker. Azure DevOps-controle.
6. Zorg ervoor dat de gebruiker die is toegewezen om verbinding te maken met de gegevensconnector de machtiging Auditlogboeken weergeven te allen tijde expliciet heeft ingesteld op Toestaan. Deze machtiging is essentieel voor een geslaagde logboekopname. Als de machtiging wordt ingetrokken of niet wordt verleend, mislukt de gegevensopname of wordt de gegevensopname onderbroken.
Installatie-instructies:
**Maak verbinding met Azure DevOps om auditlogboeken te verzamelen in Microsoft Sentinel. **
- Voer de app in die u hebt geregistreerd.
- Kopieer in de sectie Overzicht de toepassings-id (client).
- Selecteer de knop Eindpunten en kopieer de waarde 'OAuth 2.0-autorisatie-eindpunt (v2)' en de waarde 'OAuth 2.0-tokeneindpunt (v2)'.
- Kopieer in de sectie Certificaten & geheimen de waarde 'Clientgeheim' en sla deze veilig op.
- Geef hieronder de vereiste informatie op en klik op Verbinding maken.
- Tokeneindpunt: ([concat(variabelen('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
- Autorisatie-eindpunt: ([concat(variabelen('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
- API-eindpunt: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)
Azure Event Hub
Ondersteund door:Microsoft Corporation
Azure Event Hubs is een big data-streamingplatform en service voor gebeurtenisopname. Het kan miljoenen gebeurtenissen per seconde ontvangen en verwerken. Met deze connector kunt u uw Azure diagnostische logboeken van Event Hub streamen naar Microsoft Sentinel, zodat u continu activiteiten kunt bewaken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Sluit uw Azure diagnostische logboeken van Event Hub aan bij Sentinel.
Deze connector gebruikt Azure Policy om één Azure Event Hub-configuratie voor logboekstreaming toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om een beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Mogelijk hebt u al een actief beleid voor dit resourcetype.
Stream diagnostische logboeken van uw Azure Event Hub op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure Firewall
Ondersteund door:Microsoft Corporation
Maak verbinding met Azure Firewall. Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network resources beschermt. Het is een volledig stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid in de cloud. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
AZFWApplicationRule |
Ja | Ja |
AZFWFlowTrace |
Ja | Ja |
AZFWFatFlow |
Ja | Ja |
AZFWNatRule |
Ja | Ja |
AZFWDnsQuery |
Ja | Ja |
AZFWIdpsSignature |
Ja | Ja |
AZFWInternalFqdnResolutionFailure |
Ja | Ja |
AZFWNetworkRule |
Ja | Ja |
AZFWThreatIntel |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Azure Key Vault
Ondersteund door:Microsoft Corporation
Azure Key Vault is een cloudservice voor het veilig opslaan en openen van geheimen. Een geheim is alles waartoe u de toegang strikt wilt beheren, zoals API-sleutels, wachtwoorden, certificaten of cryptografische sleutels. Met deze connector kunt u uw Azure Key Vault diagnostische logboeken streamen naar Microsoft Sentinel, zodat u continu activiteiten in al uw exemplaren kunt bewaken. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Azure Kubernetes Service (AKS)
Ondersteund door:Microsoft Corporation
Azure Kubernetes Service (AKS) is een opensource, volledig beheerde containerindelingsservice waarmee u Docker-containers en containertoepassingen in een clusteromgeving kunt implementeren, schalen en beheren. Met deze connector kunt u uw diagnostische logboeken voor Azure Kubernetes Service (AKS) streamen naar Microsoft Sentinel, zodat u continu de activiteit in al uw exemplaren kunt bewaken. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Azure Logic Apps
Ondersteund door:Microsoft Corporation
Azure Logic Apps is een cloudplatform voor het maken en uitvoeren van geautomatiseerde werkstromen die uw apps, gegevens, services en systemen integreren. Met deze connector kunt u uw Azure diagnostische logboeken van Logic Apps streamen naar Microsoft Sentinel, zodat u continu activiteiten kunt bewaken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Verbind uw diagnostische logboeken van Logic Apps in Sentinel.
Deze connector gebruikt Azure Policy om één Azure configuratie voor het streamen van logboeken van Logic Apps toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om een beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Mogelijk hebt u al een actief beleid voor dit resourcetype.
Stream diagnostische logboeken van uw Azure Logic Apps op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure Resource Graph
Ondersteund door:Microsoft Corporation
Azure Resource Graph connector biedt uitgebreidere inzichten in Azure gebeurtenissen door informatie over Azure abonnementen en Azure resources aan te vullen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: machtiging voor de rol van eigenaar voor Azure-abonnementen
Installatie-instructies:
Azure Resource Graph verbinden met Microsoft Sentinel
Azure Service Bus
Ondersteund door:Microsoft Corporation
Azure Service Bus is een volledig beheerde zakelijke berichtbroker met berichtenwachtrijen en onderwerpen over publiceren/abonneren (in een naamruimte). Met deze connector kunt u uw Azure Service Bus diagnostische logboeken streamen naar Microsoft Sentinel, zodat u continu activiteiten kunt bewaken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Verbind uw Azure Service Bus diagnostische logboeken in Sentinel.
Deze connector maakt gebruik van Azure Policy om één Azure Service Bus configuratie voor logboekstreaming toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om een beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Mogelijk hebt u al een actief beleid voor dit resourcetype.
diagnostische logboeken van uw Azure Service Bus op schaal Stream
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure SQL databases
Ondersteund door:Microsoft Corporation
Azure SQL is een volledig beheerde PaaS-database-engine (Platform-as-a-Service) die de meeste databasebeheerfuncties afhandelt, zoals upgraden, patchen, back-ups en bewaking, zonder dat de gebruiker hierbij hoeft te worden betrokken. Met deze connector kunt u de audit- en diagnostische logboeken van uw Azure SQL databases streamen naar Microsoft Sentinel, zodat u continu activiteiten in al uw exemplaren kunt bewaken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Azure opslagaccount
Ondersteund door:Microsoft Corporation
Azure Storage-account is een cloudoplossing voor moderne scenario's voor gegevensopslag. Het bevat al uw gegevensobjecten: blobs, bestanden, wachtrijen, tabellen en schijven. Met deze connector kunt u diagnostische logboeken van Azure Opslagaccounts streamen naar uw Microsoft Sentinel werkruimte, zodat u continu activiteiten in al uw exemplaren kunt bewaken en schadelijke activiteiten in uw organisatie kunt detecteren. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureMetrics |
Nee | Nee |
StorageBlobLogs |
Ja | Ja |
StorageQueueLogs |
Ja | Ja |
StorageTableLogs |
Ja | Ja |
StorageFileLogs |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Verbind de diagnostische logboeken van uw Azure-opslagaccount bij Sentinel.
Deze connector maakt gebruik van een set Azure-beleid om een configuratie voor logboekstreaming toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Als u het meeste uit de diagnostische logboekregistratie van het opslagaccount wilt halen uit de Azure Opslagaccount, raden we u aan diagnostische logboekregistratie in te schakelen vanuit alle services in de Azure Opslagaccount- Blob, Wachtrij, Tabel en Bestand. Mogelijk hebt u al een actief beleid voor dit resourcetype.
Stream diagnostische logboeken van uw Azure-opslagaccount op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Stream diagnostische logboeken van uw Azure Storage Blob-service op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Stream diagnostische logboeken van uw Azure Storage Queue-service op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Stream diagnostische logboeken van uw Azure Storage Table-service op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Stream diagnostische logboeken van uw Azure Storage File-service op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure Stream Analytics
Ondersteund door:Microsoft Corporation
Azure Stream Analytics is een realtime analyse en complexe gebeurtenisverwerkingsengine die is ontworpen voor het analyseren en verwerken van grote hoeveelheden snel streamen van gegevens uit meerdere bronnen tegelijk. Met deze connector kunt u de diagnostische logboeken van uw Azure Stream Analytics-hub streamen naar Microsoft Sentinel, zodat u continu activiteiten kunt bewaken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Beleid: de rol Van eigenaar toegewezen voor elk beleidstoewijzingsbereik
Installatie-instructies:
Verbind uw diagnostische logboeken van Azure Stream Analytics in Sentinel.
Deze connector maakt gebruik van Azure Policy om één configuratie voor logboekstreaming van Azure Stream Analytics toe te passen op een verzameling exemplaren, gedefinieerd als een bereik. Volg de onderstaande instructies om een beleid te maken en toe te passen op alle huidige en toekomstige exemplaren. Mogelijk hebt u al een actief beleid voor dit resourcetype.
Stream diagnostische logboeken van uw Azure Stream Analytics op schaal
**Start de wizard Azure Policy Toewijzing en volg de stappen. **
- Klik op het tabblad Basisinformatie op de knop met de drie puntjes onder Bereik om uw abonnement te selecteren.
- Kies op het tabblad Parameters uw Microsoft Sentinel werkruimte in de vervolgkeuzelijst Log Analytics-werkruimte en laat alle logboekcategorieën die u wilt opnemen gemarkeerd als 'Waar'.
- Als u het beleid wilt toepassen op uw bestaande resources, schakelt u het selectievakje Een hersteltaak maken in op het tabblad Herstel .
Azure Web Application Firewall (WAF)
Ondersteund door:Microsoft Corporation
Maak verbinding met de Azure Web Application Firewall (WAF) voor Application Gateway, Front Door of CDN. Deze WAF beschermt uw toepassingen tegen veelvoorkomende webproblemen, zoals SQL-injectie en cross-site scripting, en stelt u in staat regels aan te passen om fout-positieven te verminderen. Instructies voor het streamen van uw Microsoft Web Application Firewall-logboeken naar Microsoft Sentinel worden weergegeven tijdens het installatieproces. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
BETTER Mobile Threat Defense (MTD)
Ondersteund door:Better Mobile Security Inc.
Met de BETTER MTD-connector kunnen ondernemingen hun Better MTD-exemplaren verbinden met Microsoft Sentinel, hun gegevens bekijken in dashboards, aangepaste waarschuwingen maken, deze gebruiken om playbooks te activeren en mogelijkheden voor het opsporen van bedreigingen uit te breiden. Dit geeft gebruikers meer inzicht in de mobiele apparaten van hun organisatie en de mogelijkheid om snel de huidige mobiele beveiligingspostuur te analyseren, waardoor hun algehele SecOps-mogelijkheden worden verbeterd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BetterMTDIncidentLog_CL |
Nee | Nee |
BetterMTDDeviceLog_CL |
Nee | Nee |
BetterMTDNetflowLog_CL |
Nee | Nee |
BetterMTDAppLog_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
- Klik in Better MTD Console op Integratie op de zijbalk.
- Selecteer het tabblad Overige .
- Klik op de knop ACCOUNT TOEVOEGEN en selecteer Microsoft Sentinel uit de beschikbare integraties.
- Maak de integratie:
- instellen
ACCOUNT NAMEop een beschrijvende naam die de integratie identificeert en klik vervolgens op Volgende - Voer uw
WORKSPACE IDenPRIMARY KEYin de onderstaande velden op Opslaan in - Klik op Gereed
- Bedreigingsbeleid instellen (aan welke incidenten moeten worden gerapporteerd
Microsoft Sentinel):
- Klik in better MTD-console op Beleid op de zijbalk
- Klik op de knop Bewerken van het beleid dat u gebruikt.
- Ga voor elk type incident dat u wilt laten logboeken naar het veld Verzenden naar integraties en selecteer Sentinel
- Raadpleeg onze documentatie voor meer informatie.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
BeyondTrust PM Cloud
Ondersteund door:BeyondTrust
De BeyondTrust Privilege Management Cloud-gegevensconnector biedt de mogelijkheid om activiteitencontrolelogboeken en clientgebeurtenislogboeken van BeyondTrust PM Cloud op te nemen in Microsoft Sentinel.
Deze connector maakt gebruik van Azure Functions om gegevens op te halen uit de BeyondTrust PM Cloud-API en deze op te nemen in aangepaste Log Analytics-tabellen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Ja | Ja |
BeyondTrustPM_ClientEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- BeyondTrust PM Cloud API-referenties: BeyondTrust PM Cloud OAuth-client-id en clientgeheim zijn vereist. Voor het API-account zijn de volgende machtigingen vereist: Audit - Alleen-lezen en Rapportage - Alleen-lezen
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de BeyondTrust PM Cloud-API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
OPMERKING: Deze connector gebruikt de OAuth 2.0-clientreferentiestroom voor verificatie met de BeyondTrust PM Cloud-API.
STAP 1: BeyondTrust PM Cloud API-referenties verkrijgen
Maak een API-account in uw BeyondTrust PM Cloud-exemplaar met OAuth API-referenties (client-id en clientgeheim). Voor het API-account zijn de volgende machtigingen vereist:
- Audit - Alleen-lezen
- Rapportage - Alleen-lezen
STAP 2: de connector en de bijbehorende Azure-functie implementeren
Gebruik deze methode voor geautomatiseerde implementatie van de BeyondTrust PM Cloud-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, resourcegroep (moet uw Log Analytics-werkruimte bevatten) en Locatie.
Voer de vereiste parameters in:
-
Werkruimtenaam: naam van uw Log Analytics-werkruimte (bijvoorbeeld
beyondtrust-pmcloud) -
BeyondTrust PM Cloud Base URL: uw tenant-URL (bijvoorbeeld
https://yourcompany.beyondtrustcloud.com) - BeyondTrust-client-id: OAuth-client-id uit stap 1
- BeyondTrust-clientgeheim: OAuth-clientgeheim uit stap 1
- Polling-interval voor activiteitscontroles: hoe vaak activiteitscontroles worden verzameld (standaard: 15 minuten)
- Polling-interval voor clientevenementen: hoe vaak client-gebeurtenissen moeten worden verzameld (standaard: 5 minuten)
- Logboekniveau: logboekregistratieniveau voor probleemoplossing (standaard: Informatie)
- Tijdsbestek voor historische gegevens: hoe ver terug om gegevens te verzamelen bij de eerste uitvoering (standaard: 1 dag)
-
Werkruimtenaam: naam van uw Log Analytics-werkruimte (bijvoorbeeld
Controleer de geavanceerde instellingen (hostingplan-SKU, opslagaccounttype) en pas deze indien nodig aan.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Met de implementatie worden alle vereiste resources gemaakt: functie-app, opslagaccount, eindpunt voor gegevensverzameling, regels voor gegevensverzameling en aangepaste Log Analytics-tabellen.
Gegevens moeten binnen 15-30 minuten na de implementatie beginnen te stromen.
BigID DSPM-connector
Ondersteund door:BigID
De BigID DSPM-gegevensconnector biedt de mogelijkheid om BigID DSPM cases met betrokken objecten en gegevensbrongegevens op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BigIDDSPMCatalog_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- BigID DSPM API-toegang: toegang tot de BigID DSPM-API via een BigID-token is vereist.
Installatie-instructies:
Maak verbinding met bigID DSPM API om bigID-DSPM cases en betrokken objecten in Microsoft Sentinel te verzamelen
Geef uw BigID-domeinnaam op zoals 'customer.bigid.cloud' en uw BigID-token. Genereer een token in de BigID-console via Instellingen -> Toegangsbeheer -> Gebruikers -> Gebruiker selecteren en een token genereren.
- BigID FQDN: (BigID FQDN)
- BigID-token: (BigID-token)
- Verbinding in-/uitschakelen
Bitglass (met Azure Functions)
Ondersteund door:Microsoft Corporation
De Bitglass-gegevensconnector biedt de mogelijkheid om beveiligingsgebeurtenislogboeken van de Bitglass-services en meer gebeurtenissen op te halen in Microsoft Sentinel via de REST API. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BitglassLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: BitglassToken en BitglassServiceURL zijn vereist voor het maken van API-aanroepen.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Azure Blob Storage API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht Bitglass die is geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: configuratiestappen voor de Bitglass Log Retrieval-API
Volg de instructies om de referenties te verkrijgen.
- Neem contact op met de ondersteuning van Bitglass en verkrijg de ntation BitglassToken en BitglassServiceURL ].
- Sla referenties op voor gebruik in de gegevensconnector.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Bitglass-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire werkruimtesleutel (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor automatische implementatie van de Bitglass-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer het BitglassToken, BitglassServiceURL in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Bitglass-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld BitglassXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Bitwarden-gebeurtenislogboeken
Ondersteund door:Bitwarden Inc
Deze connector biedt inzicht in de activiteit van uw Bitwarden-organisatie, zoals de activiteit van de gebruiker (aangemeld, gewijzigd wachtwoord, 2fa, enzovoort), coderingsactiviteit (gemaakt, bijgewerkt, verwijderd, gedeeld, enzovoort), verzamelingsactiviteit, organisatieactiviteit en meer.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BitwardenEventLogs |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Bitwarden-client-id en clientgeheim: uw API-sleutel vindt u in de beheerconsole van de Bitwarden-organisatie. Raadpleeg de Documentatie van Bitwarden voor meer informatie.
Installatie-instructies:
Bitwarden-gebeurtenislogboeken verbinden met Microsoft Sentinel
Uw API-sleutel vindt u in de beheerconsole van de Bitwarden-organisatie. Raadpleeg de Documentatie van Bitwarden voor meer informatie. Zelf-hostende Bitwarden-servers moeten mogelijk de URL van hun installatie opnieuw configureren.
- Bitwarden Identity URL: (https://identity.bitwarden.com)
- Bitwarden API-URL: (https://api.bitwarden.com)
blacklens.io
Ondersteund door:blacklens.io-ondersteuning
Met de blacklens.io-gegevensconnector kunt u waarschuwingen van Surface Management voor aanvallen van blacklens.io opnemen in Microsoft Sentinel met behulp van een op webhook gebaseerde logische app en de Azure Monitor Logs Ingestion-API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
blacklens_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure abonnement: machtigingen voor inzender of eigenaar voor de resourcegroep zijn vereist voor het implementeren van de infrastructuur voor gegevensopname (eindpunt voor gegevensverzameling, regel voor gegevensverzameling, aangepaste tabel en logische app).
- blacklens.io-account: een blacklens.io-account met webhook-integratiemogelijkheden is vereist.
Installatie-instructies:
Stap 1: de infrastructuur voor gegevensopname implementeren
In deze stap worden de vereiste Azure resources geïmplementeerd: een eindpunt voor gegevensverzameling, een regel voor gegevensverzameling, een aangepaste Log Analytics-tabel (blacklens_CL) en een door webhook geactiveerde logische app.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het abonnement, de resourcegroep en de locatie waar uw Microsoft Sentinel werkruimte zich bevindt.
Voer de werkruimtenaam van uw Log Analytics-werkruimte in.
Klik op Beoordelen en maken en vervolgens op Maken.
Stap 2: de url van de webhook kopiëren
- Nadat de implementatie is voltooid, klikt u op het tabblad Uitvoer op de implementatiepagina.
- Kopieer de waarde webhookUrl .
U kunt ook naar Overzicht van Logic Apps >la-blacklens-alert-log-ingestion> navigeren en de werkstroom-URL kopiëren.
Stap 3: blacklens.io configureren
- Meld u aan bij de blacklens.io-portal.
- Navigeer naar de webhook-integratie-instellingen.
- Plak de url van de webhook die u in stap 2 hebt gekopieerd.
- Sla de configuratie op.
- Koppel de webhook-integratie aan ten minste één meldingsbeleid , zodat waarschuwingen naar de webhook worden verzonden.
Na een paar minuten wordt er een testincident weergegeven in Microsoft Sentinel.
Box (met Azure Functions)
Ondersteund door:Microsoft Corporation
De Box-gegevensconnector biedt de mogelijkheid om gebeurtenissen van Box Enterprise op te nemen in Microsoft Sentinel met behulp van de Box REST API. Raadpleeg de Box-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BoxEvents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Box API-referenties: Box config JSON-bestand is vereist voor Box REST API JWT-verificatie. Zie JWT-verificatie voor meer informatie.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Box REST API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze connector is afhankelijk van een parser op basis van kusto-functie om te werken zoals verwacht BoxEvents die wordt geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: configuratie van de Box-gebeurtenissenverzameling
Raadpleeg de documentatie voor het instellen van JWT-verificatie en het verkrijgen van een JSON-bestand met referenties.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Box-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals het Box JSON-configuratiebestand, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Box-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON in
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Box-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Box-gebeurtenissen (CCF)
Ondersteund door:Microsoft Corporation
De Box-gegevensconnector biedt de mogelijkheid om gebeurtenissen van Box Enterprise op te nemen in Microsoft Sentinel met behulp van de Box REST API. Raadpleeg de Box-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
BoxEventsV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Box API-referenties: Box API vereist een Box App-client-id en clientgeheim om te verifiëren. Zie Clientreferenties verlenen voor meer informatie
- Box Enterprise ID: Box Enterprise ID is vereist om de verbinding te maken. Raadpleeg de documentatie om de Enterprise-id te vinden
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Codeless Connecor Platform (CCF) om verbinding te maken met de Box REST API om logboeken op te halen in Microsoft Sentinel.
OPMERKING: Deze connector is afhankelijk van een parser op basis van kusto-functie om te werken zoals verwacht BoxEvents die wordt geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: Aangepaste Box-toepassing maken
Raadpleeg de documentatie voor het instellen van verificatie van clientreferenties
STAP 2: waarden voor client-id en clientgeheim ophalen
Mogelijk moet u 2FA instellen om het geheim op te halen.
STAP 3 - Grab Box Enterprise ID van Box Beheer Console
Raadpleeg de documentatie om de Enterprise-id te vinden
Verbinding maken met Box om te beginnen met het verzamelen van gebeurtenislogboeken naar Microsoft Sentinel
Geef hieronder de vereiste waarden op:
- Box Enterprise ID: (123456)
Check Point CloudGuard CNAPP Connector voor Microsoft Sentinel
Ondersteund door:Check Point
Met de CloudGuard-gegevensconnector kunnen beveiligingsgebeurtenissen van de CloudGuard-API worden opgenomen in Microsoft Sentinel ™, met behulp van het Codeless Connector Framework van Microsoft Sentinel. De connector ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee binnenkomende beveiligingsgebeurtenisgegevens in aangepaste kolommen worden geparseerd. Dit pre-parseringsproces elimineert de noodzaak van het parseren van query's, wat resulteert in verbeterde prestaties voor gegevensquery's.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- CloudGuard API-sleutel: raadpleeg de instructies hier voor het genereren van een API-sleutel.
Installatie-instructies:
CloudGuard-beveiligingsgebeurtenissen verbinden met Microsoft Sentinel
Als u de CloudGuard-connector voor Microsoft Sentinel wilt inschakelen, voert u de vereiste informatie hieronder in en selecteert u Verbinding maken.
- API-sleutel-id: (api_key)
- API-sleutelgeheim: (api_secret)
- Url van CloudGuard-eindpunt: (bijvoorbeeld https://api.dome9.com)
- Filter: (Filter plakken uit CloudGuard)
- Verbinding in-/uitschakelen
Check Point Cyberint Alerts Connector (via Codeless Connector Framework)
Ondersteund door:Cyberint
Cyberint, een Check Point bedrijf, biedt een Microsoft Sentinel integratie om kritieke waarschuwingen te stroomlijnen en verrijkte bedreigingsinformatie van de Infinity External Risk Management-oplossing in Microsoft Sentinel te brengen. Dit vereenvoudigt het proces van het bijhouden van de status van tickets met automatische synchronisatie-updates op verschillende systemen. Met deze nieuwe integratie voor Microsoft Sentinel kunnen bestaande cyberint- en Microsoft Sentinel-klanten eenvoudig logboeken op basis van de bevindingen van Cyberint in Microsoft Sentinel platform ophalen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
argsentdc_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Check Point Cyberint API Key, Argos URL en Customer Name: De connector-API-sleutel, Argos-URL en Klantnaam zijn vereist
Installatie-instructies:
Checkpoint Cyberint-waarschuwingen verbinden met Microsoft Sentinel
Als u de connector wilt inschakelen, geeft u hieronder de vereiste informatie op en klikt u op Verbinding maken.
Argos-URL — Cyberint API-URL voor uw tenant (bijvoorbeeld https://your_tenant.cyberint.io) API-token — Cyberint API-toegangstoken Klantnaam — Bedrijfsnaam (client) die is gekoppeld aan uw Cyberint-exemplaaromgevingen — Door komma's gescheiden lijst met op te halen omgevingen. Als ze leeg zijn, worden alle omgevingen opgehaald.\n\nErnst : door komma's gescheiden lijst met ernst(laag, gemiddeld, hoog, very_high). Als dit leeg is, worden alle ernstwaarden opgehaald.\n\nPolling-interval : hoe vaak moet worden gepeild naar nieuwe waarschuwingen, in minuten (standaard: 5)\n\nCSV-bijlagen opnemen als JSON - Of CSV-bijlagen als JSON-inhoud moeten worden opgenomen in waarschuwingen (standaard: onwaar)
- Argos-URL: (https://your_tenant.cyberint.io)
- API-token: (Cyberint API-toegangstoken)
- Klantnaam: (bedrijfsnaam (client) die is gekoppeld aan uw Cyberint-exemplaar)
- Omgevingen: (door komma's gescheiden lijst (bijvoorbeeld productie, fasering))
- Ernst: (Door komma's gescheiden lijst (bijvoorbeeld laag,gemiddeld,hoog,very_high))
- Polling-interval (minuten): (pollfrequentie in minuten)
- CSV-bijlagen opnemen als JSON: (waar of onwaar)
- Verbinding in-/uitschakelen
Check Point Cyberint IOC-connector
Ondersteund door:Cyberint
Cyberint, een Check Point bedrijf, biedt een Microsoft Sentinel integratie om Indicators of Compromise (IOC's) van de Infinity External Risk Management-oplossing op te nemen in Microsoft Sentinel. Deze connector haalt automatisch de dagelijkse IOC-feed op, inclusief schadelijke IP-adressen, domeinen, URL's en bestands-hashes, verrijkt met bedreigingscontext zoals ernst, betrouwbaarheid en gedetecteerde activiteit.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
iocsent_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Check Point Cyberint API Key, Argos URL en Customer Name: De connector-API-sleutel, Argos-URL en Klantnaam zijn vereist
Installatie-instructies:
Check Point Cyberint IOC-feed verbinden met Microsoft Sentinel
Als u de connector wilt inschakelen, geeft u hieronder de vereiste informatie op en klikt u op Verbinding maken.
Argos-URL — Cyberint API-URL voor uw tenant (bijvoorbeeld https://your_tenant.cyberint.io) API-token — Cyberint API-toegangstoken Klantnaam — Bedrijfsnaam (client) die is gekoppeld aan uw Cyberint-exemplaar
- Argos-URL: (https://your-company.cyberint.io)
- API-token: (API-token)
- Klantnaam: (bedrijfsnaam (client) die is gekoppeld aan uw Cyberint-exemplaar)
- Verbinding in-/uitschakelen
Cisco ASA/FTD via AMA
Ondersteund door:Microsoft Corporation
Met de Cisco ASA-firewallconnector kunt u eenvoudig uw Cisco ASA-logboeken verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Als u gegevens van niet-Azure VM's wilt verzamelen, moet Azure Arc zijn geïnstalleerd en ingeschakeld. Meer informatie
Installatie-instructies:
Regel voor gegevensverzameling inschakelen
Cisco ASA/FTD-gebeurtenislogboeken worden alleen verzameld van Linux agents.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Voer de volgende opdracht uit om de Cisco ASA/FTD-collector te installeren en toe te passen:
- Waarde: <variabele waarde opgegeven tijdens de installatie>
Cisco Cloud Security (met Azure Functions)
Ondersteund door:Microsoft Corporation
Met de Cisco Cloud Security-oplossing voor Microsoft Sentinel kunt u Cisco Secure Access- en Cisco Umbrella-logboeken die zijn opgeslagen in Amazon S3 opnemen in Microsoft Sentinel met behulp van de Amazon S3 REST API. Raadpleeg de documentatie voor Cisco Cloud Security-logboekbeheer voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cisco_Umbrella_dns_CL |
Ja | Ja |
Cisco_Umbrella_proxy_CL |
Ja | Ja |
Cisco_Umbrella_ip_CL |
Ja | Ja |
Cisco_Umbrella_cloudfirewall_CL |
Ja | Ja |
Cisco_Umbrella_firewall_CL |
Ja | Ja |
Cisco_Umbrella_dlp_CL |
Nee | Nee |
Cisco_Umbrella_ravpnlogs_CL |
Nee | Nee |
Cisco_Umbrella_audit_CL |
Nee | Nee |
Cisco_Umbrella_ztna_CL |
Nee | Nee |
Cisco_Umbrella_intrusion_CL |
Nee | Nee |
Cisco_Umbrella_ztaflow_CL |
Nee | Nee |
Cisco_Umbrella_fileevent_CL |
Nee | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Amazon S3 REST API Referenties/machtigingen: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name zijn vereist voor Amazon S3 REST API.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Amazon S3 REST API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
OPMERKING: Deze connector is bijgewerkt om het Cisco Cloud Security-logboekschema versie 14 te ondersteunen.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure Functions-app.
OPMERKING: deze connector gebruikt een parser op basis van een Kusto-functie om velden te normaliseren. Volg deze stappen om de Kusto-functiealias te maken Cisco_Umbrella.
STAP 1: configuratie van de verzameling Cisco Cloud Security-logboeken
Raadpleeg de documentatie en volg de instructies voor het instellen van logboekregistratie en het verkrijgen van referenties.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure Functions
BELANGRIJK: Voordat u de Cisco Cloud Security-gegevensconnector implementeert, moet u de werkruimte-id en primaire werkruimtesleutel (kan worden gekopieerd uit het volgende) en de amazon S3 REST API-autorisatiereferenties direct beschikbaar hebben.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Cisco Cloud Security-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey Opmerking: voor de S3Bucket gebruikt u de waarde waarnaar Cisco verwijst als het S3 Bucket-gegevenspad en voegt u een / (slash) toe aan het einde van de waarde
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Cisco Cloud Security-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure Functions ontwikkeling.
- Download het Azure Functions App-bestand. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Cisco Cloud Security (met een elastisch Premium-abonnement) (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Cisco Umbrella-gegevensconnector biedt de mogelijkheid om Cisco Umbrella-gebeurtenissen die zijn opgeslagen in Amazon S3 op te nemen in Microsoft Sentinel met behulp van de Amazon S3 REST API. Raadpleeg de documentatie voor Cisco Umbrella-logboekbeheer voor meer informatie.
OPMERKING: Deze gegevensconnector maakt gebruik van het Azure Functions Premium-abonnement om veilige opnamemogelijkheden mogelijk te maken. Hiervoor worden extra kosten in rekening gebracht. Meer prijsinformatie vindt u hier.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cisco_Umbrella_dns_CL |
Ja | Ja |
Cisco_Umbrella_proxy_CL |
Ja | Ja |
Cisco_Umbrella_ip_CL |
Ja | Ja |
Cisco_Umbrella_cloudfirewall_CL |
Ja | Ja |
Cisco_Umbrella_firewall_CL |
Ja | Ja |
Cisco_Umbrella_dlp_CL |
Nee | Nee |
Cisco_Umbrella_ravpnlogs_CL |
Nee | Nee |
Cisco_Umbrella_audit_CL |
Nee | Nee |
Cisco_Umbrella_ztna_CL |
Nee | Nee |
Cisco_Umbrella_intrusion_CL |
Nee | Nee |
Cisco_Umbrella_ztaflow_CL |
Nee | Nee |
Cisco_Umbrella_fileevent_CL |
Nee | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Amazon S3 REST API Referenties/machtigingen: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name zijn vereist voor Amazon S3 REST API.
- Virtual Network machtigingen (voor privétoegang): voor toegang tot privéopslagaccounts zijn machtigingen voor netwerkbijdrager vereist voor de Virtual Network en het subnet. Het subnet moet worden gedelegeerd aan Microsoft.Web/serverFarms voor VNet-integratie van functie-apps.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Amazon S3 REST API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
OPMERKING: Deze connector is bijgewerkt om cisco umbrella log-schema versie 14 te ondersteunen.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure Functions-app.
OPMERKING: deze connector gebruikt een parser op basis van een Kusto-functie om velden te normaliseren. Volg deze stappen om de Kusto-functiealias te maken Cisco_Umbrella.
STAP 1- Netwerkvereisten voor privétoegang
BELANGRIJK: Wanneer u implementeert met toegang tot een privéopslagaccount, moet u ervoor zorgen dat aan de volgende netwerkvereisten wordt voldaan:
- Virtual Network: er moet een bestaand Virtual Network (VNet) beschikbaar zijn
- Subnet: een toegewezen subnet binnen het VNet moet worden gedelegeerd aan Microsoft.Web/serverFarms for Function App VNet integration
-
Subnetdelegering: configureer de subnetdelegering met behulp van Azure Portal, ARM-sjabloon of Azure CLI:
- Azure Portal: Ga naar Virtuele netwerken → Selecteer uw VNet → Subnetten → Subnet selecteren → Subnet delegeren voor service → Microsoft.Web/serverFarms kiezen
- Azure CLI:
az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
- Privé-eindpunten: met de implementatie worden privé-eindpunten gemaakt voor opslagaccountservices (blob, bestand, wachtrij, tabel) in hetzelfde subnet
STAP 2: configuratie van de verzameling Cisco Umbrella-logboeken
Raadpleeg de documentatie en volg de instructies voor het instellen van logboekregistratie en het verkrijgen van referenties.
STAP 3: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure Functions
BELANGRIJK: Voordat u de Cisco Umbrella-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kunt u hieruit kopiëren), evenals de amazon S3 REST API-autorisatiereferenties, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Cisco Umbrella-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey in
Voor implementatie van privétoegang: voer ook existingVnetName, existingVnetResourceGroupName en existingSubnetName in (zorg ervoor dat het subnet is gedelegeerd aan Microsoft.Web/serverFarms) Opmerking: Gebruik voor de S3Bucket de waarde waarnaar Cisco verwijst als het S3 Bucket-gegevenspad en voeg een / (slash) toe aan het einde van de waarde
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Cisco Umbrella-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure Functions ontwikkeling.
- Download het Azure Functions App-bestand. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Cisco Duo Security (met behulp van Azure Functions)
Ondersteund door:Cisco Systems
De Cisco Duo Security-gegevensconnector biedt de mogelijkheid om verificatielogboeken, beheerderslogboeken, telefonielogboeken, offlineinschrijvingslogboeken en Trust Monitor-gebeurtenissen op te nemen in Microsoft Sentinel met behulp van de Cisco Duo Beheer API. Raadpleeg de API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CiscoDuo_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Cisco Duo API-referenties: Cisco Duo API-referenties met machtiging Leeslogboek verlenen is vereist voor Cisco Duo-API. Raadpleeg de documentatie voor meer informatie over het maken van Cisco Duo API-referenties.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Cisco Duo-API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht CiscoDuo die is geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: Referenties voor Cisco Duo Beheer API verkrijgen
- Volg de instructies voor het verkrijgen van de integratiesleutel, geheime sleutel en API-hostnaam. Gebruik Leeslogboekmachtigingen verlenen in de 4e stap van de instructies.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan hieruit worden gekopieerd), evenals Azure Blob Storage verbindingsreeks en containernaam, direct beschikbaar zijn.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de Cisco Duo Integration Key, Cisco Duo Secret Key, Cisco Duo API Hostname, Cisco Duo Log Types, Microsoft Sentinel Workspace Id, Microsoft Sentinel Shared Key in
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://WORKSPACE_ID.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Cisco ETD (met Azure Functions)
Ondersteund door:N.v.v.
De connector haalt gegevens op uit de ETD-API voor bedreigingsanalyse
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CiscoETD_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Email Threat Defense-API, API-sleutel, client-id en geheim: zorg ervoor dat u de API-sleutel, client-id en geheime sleutel hebt.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de ETD-API om de logboeken op te halen in Microsoft Sentinel.
Volg de implementatiestappen om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de ETD-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Cisco ETD-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD Region in
Klik op Maken om te implementeren.
Cisco Meraki (met behulp van REST API)
Ondersteund door:Microsoft Corporation
Met de Cisco Meraki-connector kunt u eenvoudig uw Cisco Meraki-organisatie-gebeurtenissen (beveiligingsevenementen, configuratiewijzigingen en API-aanvragen) verbinden met Microsoft Sentinel. De gegevensconnector gebruikt de Cisco Meraki REST API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen gegevens worden geparseerd en opgenomen in ASIM en aangepaste tabellen in uw Log Analytics-werkruimte. Deze gegevensconnector profiteert van mogelijkheden zoals op DCR gebaseerde opnametijdfiltering, gegevensnormalisatie.
Ondersteund ASIM-schema:
- Netwerksessie
- Websessie
- Controlegebeurtenis
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ASimNetworkSessionLogs |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Cisco Meraki REST API-sleutel: API-toegang in Cisco Meraki inschakelen en API-sleutel genereren. Raadpleeg de officiële documentatie van Cisco Meraki voor meer informatie.
- Organisatie-id van Cisco Meraki: Haal uw Cisco Meraki-organisatie-id op om beveiligingsevenementen op te halen. Volg de stappen in de documentatie om de organisatie-id te verkrijgen met behulp van de Meraki-API-sleutel die u in de vorige stap hebt verkregen.
Installatie-instructies:
Cisco Meraki-gebeurtenissen verbinden met Microsoft Sentinel
Deze connector maakt het momenteel mogelijk om gebeurtenissen op te nemen van het volgende Cisco Meraki REST API-eindpunt :
- Beveiligingsevenementen voor organisatieapparaten ophalen Met deze connector worden IDS-waarschuwingsgebeurtenissen geparseerd in ASimNetworkSessionLogs-tabel- en bestand gescande gebeurtenissen in ASimWebSessionLogs Table.
- Organisatie-API-aanvragen ophalen Met deze connector worden gebeurtenissen geparseerd in de tabel ASimWebSessionLogs.
- Wijzigingen in organisatieconfiguratie ophalen Deze connector parseert gebeurtenissen in de tabel ASimAuditEventLogs.
- Organisatie-id: (OrganizationId)
- API-sleutel: (ApiKey)
- Verbinding in-/uitschakelen
Cisco Secure Endpoint (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De gegevensconnector Cisco Secure Endpoint (voorheen AMP for Endpoints) biedt de mogelijkheid om auditlogboeken en -gebeurtenissen van Cisco Secure Endpoint op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Ja | Ja |
CiscoSecureEndpointEventsV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Cisco Secure Endpoint API-referenties/-regio's: als u API-referenties wilt maken en inzicht wilt krijgen in de regio's, volgt u de documentkoppeling die hier wordt verstrekt. Klik hier.
Installatie-instructies:
Cisco Secure Endpoint verbinden met Microsoft Sentinel
Als u gegevens van Cisco Secure Endpoint wilt opnemen in Microsoft Sentinel, moet u hieronder op de knop Account toevoegen klikken. Vervolgens krijgt u een pop-up met de details zoals Email, organisatie, client-id, API-sleutel en regio, geeft u de vereiste informatie op en klikt u op Verbinding maken. U kunt de verbonden organisaties/e-mailberichten in het onderstaande raster zien.
- Raster van gegevensconnectors (configureren in de portal)
Cisco Software Defined WAN
Ondersteund door:Cisco Systems
De Cisco Software Defined WAN-gegevensconnector (SD-WAN) biedt de mogelijkheid om Cisco SD-WAN Syslog- en Netflow-gegevens op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Syslog |
Ja | Ja |
CiscoSDWANNetflow_CL |
Nee | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Volg de onderstaande stappen om Cisco SD-WAN Syslog- en Netflow-gegevens op te nemen in Microsoft Sentinel.
1. Stappen voor het opnemen van Syslog-gegevens in Microsoft Sentinel
Azure Monitor Agent wordt gebruikt om de syslog-gegevens te verzamelen in Microsoft Sentinel. Hiervoor moet u eerst een Azure Arc-server maken voor de VM van waaruit syslog-gegevens worden verzonden.
1.1 Stappen voor het toevoegen van Azure Arc-server
- Ga in Azure Portal naar Servers - Azure Arc en klik op Toevoegen.
- Selecteer Script genereren onder de sectie Eén server toevoegen. Een gebruiker kan ook scripts genereren voor meerdere servers.
- Bekijk de informatie op de pagina Vereisten en selecteer vervolgens Volgende.
- Geef op de pagina Resourcedetails het abonnement en de resourcegroep op van de Microsoft Sentinel, Regio, Besturingssysteem en Connectiviteitsmethode. Selecteer Volgende.
- Controleer op de pagina Tags de voorgestelde standaard fysieke locatietags en voer een waarde in of geef een of meer aangepaste tags op ter ondersteuning van uw standaarden. Selecteer vervolgens Volgende
- Selecteer Downloaden om het scriptbestand op te slaan.
- Nu u het script hebt gegenereerd, is de volgende stap het uitvoeren op de server die u wilt onboarden naar Azure Arc.
- Als u Azure VM hebt, volgt u de stappen in de koppeling voordat u het script uitvoert.
- Voer het script uit met de volgende opdracht:
./<ScriptName>.sh - Nadat u de agent hebt geïnstalleerd en deze hebt geconfigureerd om verbinding te maken met Azure servers met Arc, gaat u naar de Azure Portal om te controleren of de server verbinding heeft gemaakt. Bekijk uw computer in de Azure Portal. Referentiekoppeling:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm
1.2 Stappen voor het maken van een regel voor gegevensverzameling (DCR)
- Zoek in Azure Portal naar Monitor. Selecteer onder Instellingen de optie Regels voor gegevensverzameling en Selecteer Maken.
- Voer in het deelvenster Basisbeginselen de regelnaam, het abonnement, de resourcegroep, de regio en het platformtype in.
- Selecteer Volgende: Resources.
- Selecteer Resources toevoegen. Gebruik de filters om de virtuele machine te vinden die u gebruikt om logboeken te verzamelen.
- Selecteer de virtuele machine. Selecteer Toepassen.
- Selecteer Volgende: Verzamelen en bezorgen.
- Selecteer Gegevensbron toevoegen. Selecteer bij Gegevensbrontype Linux syslog.
- Laat voor Minimaal logboekniveau de standaardwaarden LOG_DEBUG.
- Selecteer Volgende: Bestemming.
- Selecteer Bestemming toevoegen en Doeltype, Abonnement en Account of naamruimte toevoegen.
- Selecteer Gegevensbron toevoegen. Selecteer Volgende: Controleren en maken.
- Selecteer Maken. Wacht 20 minuten. Controleer in Microsoft Sentinel of Azure Monitor of de Azure Monitor-agent wordt uitgevoerd op uw VM. Referentiekoppeling:/azure/sentinel/forward-syslog-monitor-agent
2. Stappen voor het opnemen van Netflow-gegevens naar Microsoft Sentinel
Als u Netflow-gegevens wilt opnemen in Microsoft Sentinel, moeten Filebeat en Logstash op de VM worden geïnstalleerd en geconfigureerd. Na de configuratie kan de vm netflowgegevens ontvangen op de geconfigureerde poort en worden deze gegevens opgenomen in de werkruimte van Microsoft Sentinel.
2.1 Filebeat en logstash installeren
- Raadpleeg dit document voor de installatie van filebeat en logstash met behulp van apt:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
- Voor de installatie van filebeat en logstash voor RedHat zijn Linux (yum) stappen als volgt:
- Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
- Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum
2.2 Filebeat configureren om gebeurtenissen naar Logstash te verzenden
- Filebeat.yml bestand bewerken:
vi /etc/filebeat/filebeat.yml - Plaats een opmerking in de sectie Elasticsearch Output.
- Sectie Logstash-uitvoer ongedaan maken (alleen deze twee regels verwijderen)- output.logstash-hosts: ["localhost:5044"]
- Als u in de sectie Logstash Output de gegevens wilt verzenden die niet de standaardpoort zijn, bijvoorbeeld poort 5044, vervangt u het poortnummer in het veld hosts. (Opmerking: deze poort moet worden toegevoegd aan het conf-bestand, tijdens het configureren van logstash.)
- Voeg in de sectie filebeat.inputs een opmerking toe over de bestaande configuratie en voeg de volgende configuratie toe: - type: netflow max_message_size: 10KiB-host: "0.0.0.0:2055" protocollen: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:
- /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true enabled: true
- Als u in de sectie Filebeat-invoer andere gegevens wilt ontvangen dan de standaardpoort, bijvoorbeeld 2055-poort, vervangt u het poortnummer in het hostveld.
- Voeg het opgegeven custom.yml-bestand toe in de map /etc/filebeat/.
- Open de invoer- en uitvoerpoort voor filebeat in de firewall.
- Opdracht uitvoeren:
firewall-cmd --zone=public --permanent --add-port=2055/udp - Opdracht uitvoeren:
firewall-cmd --zone=public --permanent --add-port=5044/udp
Opmerking: als er een aangepaste poort is toegevoegd voor filebeat invoer/uitvoer, opent u die poort in de firewall.
2.3 Logstash configureren om gebeurtenissen te verzenden naar Microsoft Sentinel
- Installeer de Azure Log Analytics-invoegtoepassing:
- Opdracht uitvoeren:
sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics - Sla de Log Analytics-werkruimtesleutel op in het sleutelarchief Logstash. De werkruimtesleutel vindt u in Azure Portal onder Analytische werkruimte > logboek Selecteer werkruimte > Onder Instellingen selecteert u Agent > Log Analytics-agentinstructies.
- Kopieer de primaire sleutel en voer de volgende opdrachten uit:
sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKeysudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey- Maak het configuratiebestand /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> #(Voer het uitvoerpoortnummer in dat is geconfigureerd tijdens de filebeat-configuratie, bijvoorbeeld. filebeat.yml-bestand .) } } uitvoer { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } } }
Opmerking: als de tabel niet aanwezig is in Microsoft Sentinel, wordt er een nieuwe tabel gemaakt in Sentinel.
2.4 Filebeat uitvoeren:
- Open een terminal en voer de opdracht uit:
systemctl start filebeat - Met deze opdracht wordt filebeat op de achtergrond uitgevoerd. Als u de logboeken wilt zien, stopt u de filebeat (
systemctl stop filebeat) en voert u de volgende opdracht uit:filebeat run -e
2.5 Logstash uitvoeren:
- Voer in een andere terminal de opdracht uit:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf & - Met deze opdracht wordt de logstash op de achtergrond uitgevoerd. Als u de logboeken van logstash wilt zien, wordt het bovenstaande proces beëindigd en voert u de volgende opdracht uit:
/usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf
Claroty xDome
Ondersteund door:xDome-klantondersteuning
Claroty xDome biedt uitgebreide beveiligings- en waarschuwingsbeheermogelijkheden voor gezondheidszorg en industriële netwerkomgevingen. Het is ontworpen om meerdere brontypen toe te wijzen, de verzamelde gegevens te identificeren en deze te integreren in Microsoft Sentinel gegevensmodellen. Dit resulteert in de mogelijkheid om alle potentiële bedreigingen in uw gezondheidszorg en industriële omgevingen op één locatie te bewaken, wat leidt tot effectievere beveiligingsbewaking en een sterkere beveiligingspostuur.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
1. Linux Syslog-agentconfiguratie
Installeer en configureer de Linux agent om uw Ceflog-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux machine selecteren of maken
Selecteer of maak een Linux machine die Microsoft Sentinel gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel deze machine zich in uw on-premises omgeving, Azure of andere clouds kan bevinden.
1.2 Installeer de CEF-collector op de Linux machine
Installeer de Microsoft Monitoring Agent op uw Linux machine en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
Zorg ervoor dat u Python op uw computer hebt met behulp van de volgende opdracht: python --version.
U moet verhoogde machtigingen (sudo) hebben op uw computer.
- Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:: <variabele waarde die tijdens de installatie is opgegeven>
2. CEF-logboeken (Common Event Format) doorsturen naar de Syslog-agent
Configureer de integratie claroty xDome - Microsoft Sentinel om uw Ceflog-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
3. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python --version
U moet verhoogde machtigingen (sudo) op uw computer hebben
- Voer de volgende opdracht uit om uw connectiviteit te valideren:: <variabele waarde die is opgegeven tijdens de installatie>
**4. Beveilig uw computer **
Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie
Cloudflare (preview) (met behulp van Azure Functions)
Ondersteund door:Cloudflare
De Cloudflare-gegevensconnector biedt de mogelijkheid om Cloudflare-logboeken op te nemen in Microsoft Sentinel met behulp van de Cloudflare Logpush en Azure Blob Storage. Raadpleeg de cloudflare-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cloudflare_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Azure Blob Storage verbindingsreeks en containernaam: Azure Blob Storage verbindingsreeks en containernaam waarnaar de logboeken worden gepusht door Cloudflare Logpush. Zie Azure Blob Storage container maken voor meer informatie.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Azure Blob Storage API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht Cloudflare die wordt geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: configuratie van de Cloudflare Logpush
Raadpleeg de documentatie voor het instellen van Cloudflare Logpush naar Microsoft Azure
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Cloudflare-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals Azure Blob Storage verbindingsreeks en containernaam, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Cloudflare-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de Azure Blob Storage containernaam, Azure Blob Storage verbindingsreeks, Microsoft Sentinel werkruimte-id Microsoft Sentinel gedeelde sleutel in
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Cloudflare-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld CloudflareXX).
e. Selecteer een runtime: Kies Python 3.8.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://WORKSPACE_ID.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Cloudflare (blobcontainer gebruiken) (via het connectorframework zonder code)
Ondersteund door:Cloudflare
De Cloudflare-gegevensconnector biedt de mogelijkheid om Cloudflare-logboeken op te nemen in Microsoft Sentinel met behulp van de Cloudflare Logpush en Azure Blob Storage. Raadpleeg de cloudflare-documentatievoor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CloudflareV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Een opslagaccount en een container maken: voordat u logpush instelt in Cloudflare, maakt u eerst een opslagaccount en een container in Microsoft Azure. Gebruik deze handleiding voor meer informatie over container en blob. Volg de stappen in de documentatie om een Azure Storage-account te maken.
- Een BLob SAS-URL genereren: machtigingen voor maken en schrijven zijn vereist. Raadpleeg de documentatie voor meer informatie over het Blob SAS-token en de URL.
- Logboeken verzamelen van Cloudflare naar uw Blob-container: volg de stappen in de documentatie voor het verzamelen van logboeken van Cloudflare naar uw Blob-container.
Installatie-instructies:
Cloudflare-logboeken verbinden met Microsoft Sentinel
Als u Cloudflare-logboeken wilt inschakelen voor Microsoft Sentinel, geeft u de vereiste informatie hieronder op en klikt u op Verbinding maken.
- De URL van de blobcontainer waaruit u gegevens wilt verzamelen:
- De naam van de resourcegroep voor het opslagaccount van de blobcontainer:
- De opslagaccountlocatie van de blobcontainer:
- De abonnements-id van het opslagaccount van de blobcontainer:
- De gebeurtenisrasteronderwerpnaam van het opslagaccount van de blobcontainer, indien aanwezig. anders leeg blijven.:
- Verbinding in-/uitschakelen
Cognni
Ondersteund door:Cognni
De Cognni-connector biedt een snelle en eenvoudige integratie met Microsoft Sentinel. U kunt Cognni gebruiken om uw eerder niet-geclassificeerde belangrijke informatie autonoom toe te wijzen en gerelateerde incidenten te detecteren. Hiermee kunt u risico's voor uw belangrijke informatie herkennen, de ernst van de incidenten begrijpen en de details onderzoeken die u nodig hebt om te herstellen, snel genoeg om een verschil te maken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CognniIncidents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Verbinding maken met Cognni
- Ga naar de pagina Cognni-integraties
- Klik op 'Verbinding maken' in het vak 'Microsoft Sentinel'
- Kopieer en plak 'workspaceId' en 'sharedKey' (van onder) naar de gerelateerde velden op het integratiescherm van Cognni
- Klik op de botton 'Verbinding maken' om de configuratie te voltooien.
Binnenkort worden al uw door Cognni gedetecteerde incidenten hier doorgestuurd (naar Microsoft Sentinel)
Bent u geen Cognni-gebruiker? Doe mee
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Gedeelde sleutel: <variabele waarde opgegeven tijdens de installatie>
Samenhang (met behulp van Azure Functions)
Ondersteund door:Cohesity
De cohesity-functie-apps bieden de mogelijkheid om Cohesity Datahawk ransomware-waarschuwingen op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cohesity_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Azure Blob Storage verbindingsreeks en containernaam: Azure Blob Storage verbindingsreeks en containernaam
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions die verbinding maken met de Azure Blob Storage en KeyVault. Dit kan extra kosten met zich meebrengen. Raadpleeg de pagina Azure Functions prijzen, Azure Blob Storage prijzen en Azure KeyVault-pagina voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: Een Api-sleutel voor Cohesity DataHawk ophalen (zie instructie 1 voor probleemoplossing)
STAP 2: registreer Azure app (koppeling) en sla de toepassings-id (client), map-id (tenant) en geheime waarde (instructies) op. Ververleent het Azure Storage-machtiging (user_impersonation). Wijs ook de rol 'Microsoft Sentinel Inzender' toe aan de toepassing in het juiste abonnement.
STAP 3: implementeer de connector en de bijbehorende Azure Functions.
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Cohesity-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de parameters in die u in de vorige stappen hebt gemaakt
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
CommvaultSecurityIQ
Ondersteund door:Commvault
Met deze Azure-functie kunnen Commvault-gebruikers waarschuwingen/gebeurtenissen opnemen in hun Microsoft Sentinel-exemplaar. Met analyseregels kunt Microsoft Sentinel automatisch Microsoft Sentinel incidenten maken op basis van binnenkomende gebeurtenissen en logboeken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommvaultAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Url van commvault-omgevingseindpunt: volg de documentatie en stel de geheime waarde in KeyVault in
- Commvault QSDK-token: volg de documentatie en stel de geheime waarde in KeyVault in
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Commvault-exemplaar om de logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor het Commvalut QSDK-token
Volg deze instructies om een API-token te maken.
STAP 2: de connector en de bijbehorende Azure-functie implementeren
BELANGRIJK: Voordat u de CommvaultSecurityIQ-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), evenals de Commvault-eindpunt-URL en QSDK-token direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Commvault Security IQ-gegevensconnector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de werkruimte-id, werkruimtesleutel en/of andere vereiste velden in en klik op Volgende.
Klik op Maken om te implementeren.
Contrast ADR Push Connector
Ondersteund door:Contrast Security
De Contrast Security-connector biedt de mogelijkheid om aanvalsgebeurtenissen en incidenten van Contrast Application Detection and Response (ADR) op te nemen in Microsoft Sentinel. Deze connector ontvangt gegevens via het webhook-pushmechanisme met behulp van OAuth-verificatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ContrastADRAttackEvents_CL |
Nee | Nee |
ContrastADRIncidents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID (als u een automatisch gemaakte app gebruikt). Vereist doorgaans de rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging voor het maken en configureren van Azure-resources (DCE, DCR, tabellen) en het toewijzen van RBAC-rollen. Hiervoor zijn doorgaans de rollen Inzender en Beheerder voor gebruikerstoegang vereist.
- Contrast ADR Webhook-toegang: Toegang tot contrast ADR-platform om webhook te configureren met OAuth-verificatie-instellingen.
Installatie-instructies:
1. Connectorresources implementeren
Implementeer de vereiste Azure resources voor contrast ADR-gegevensopname.
Kies uw implementatieoptie
Selecteer een van de volgende implementatieopties op basis van vereisten:
Optie A: Automatisch Microsoft Entra toepassing maken (aanbevolen)
Als u op Contrast ADR CCF-connector implementeren klikt, wordt automatisch het volgende gemaakt:
- Eindpunt voor gegevensverzameling (DCE)
- Regel voor gegevensverzameling (DCR) met streams voor aanvalsevenementen en incidenten
- Log Analytics-tabellen (ContrastADRAttackEvents_CL en ContrastADRIncidents_CL)
- Microsoft Entra toepassing met OAuth-referenties
- Roltoewijzing (Monitoring Metrics Publisher) op de DCR
Na de implementatie: Alle configuratiewaarden (tenant-id, client-id, clientgeheim, DCE-URI, onveranderbare DCR-id) worden hieronder automatisch ingevuld voor eenvoudig kopiëren en plakken in het Contrast-platform.
Optie B: Bestaande Microsoft Entra-toepassing (BYOA) gebruiken
Als u op Contrast ADR CCF-connector implementeren klikt, wordt het volgende gemaakt:
- Eindpunt voor gegevensverzameling (DCE)
- Regel voor gegevensverzameling (DCR) met streams voor aanvalsevenementen en incidenten
- Log Analytics-tabellen (ContrastADRAttackEvents_CL en ContrastADRIncidents_CL)
- Microsoft Entra toepassing (u kunt dit negeren)
Wanneer te gebruiken: als u een bestaande Entra-app hebt die u opnieuw wilt gebruiken om redenen van beveiliging of naleving. Aanvullende stappen vereist:
- Na de implementatie wijst u handmatig de bestaande service-principal van uw Entra app de rol Monitoring Metrics Publisher toe op de gemaakte DCR
- Gebruik de client-id en het clientgeheim van uw eigen Entra-app (negeer de automatisch gegenereerde id's hieronder)
- Gebruik de DCE-URI en DCR Onveranderbare ID van hieronder in de contrast-webhookconfiguratie
Klik op Implementeren om te beginnen:
2. Contrast ADR Webhook configureren
Kopieer de volgende waarden om de Microsoft Sentinel-integratie in het Contrast ADR-platform te configureren.
Voor optie A (automatisch gemaakte Entra-app): gebruik alle automatisch ingevulde waarden hieronder. Voor optie B (bestaande Entra-app): Gebruik de DCE-URI, dcr onveranderbare id en Stream namen van hieronder, maar gebruik de tenant-id, client-id en clientgeheim van uw eigen Entra app.
Azure configuratiewaarden:
- Tenant-id: <variabele waarde opgegeven tijdens de installatie>
- Toepassings-id (client):< variabele waarde opgegeven tijdens de installatie>
- Clientgeheim: <variabele waarde opgegeven tijdens de installatie>
- DCE-URI <(Data Collection Endpoint): variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id (DCR) voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Naam van aanvalsevenementen Stream: <variabele waarde opgegeven tijdens de installatie>
- Naam van incidenten Stream: <variabele waarde opgegeven tijdens de installatie>
Configureren in Contrast ADR Platform
- Meld u aan bij uw Contrast ADR-platform
- Navigeer naar Microsoft Sentinel Beheerintegraties >>
- Kopieer en plak alle configuratiewaarden van hierboven:
- Tenant-ID
- Toepassings-id (client)
- Clientgeheim
- DCE-URI (Data Collection Endpoint)
- Onveranderbare id (DCR) voor gegevensverzameling
- Naam van aanvalsevenementen Stream
- Naam van incidenten Stream
- Klik op Opslaan om de integratie te voltooien
Het Contrast-platform configureert automatisch de OAuth-verificatie- en gegevenseindpunten met behulp van deze waarden.
3. Gegevensopname controleren
Controleer of de gegevens van Contrast ADR naar Microsoft Sentinel stromen.
Verificatiestappen
- Een testaanval-gebeurtenis activeren in Contrast ADR
- Wacht 5-10 minuten totdat gegevens worden weergegeven in Microsoft Sentinel
- Voer de volgende query uit om aanvalsevenementen te verifiëren:
ContrastADRAttackEvents_CL
| take 10
- Incidentengegevens verifiëren:
ContrastADRIncidents_CL
| take 10
- Controleer op connectiviteit:
ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)
Als gegevens worden weergegeven en IsConnected waar retourneert, is uw connector correct geconfigureerd.
Corelight Connector Exporteren
Ondersteund door:Corelight
Met de Corelight-gegevensconnector kunnen incident responders en bedreigingsjagers die gebruikmaken van Microsoft Sentinel sneller en effectiever werken. De gegevensconnector maakt opname van gebeurtenissen van Zeek en Suricata via Corelight Sensors in Microsoft Sentinel mogelijk.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Corelight |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht Corelight die wordt geïmplementeerd met de Microsoft Sentinel Solution.
1. De bestanden ophalen
Neem contact op met uw TAM, SE of info@corelight.com om de bestanden op te halen die nodig zijn voor de Microsoft Sentinel-integratie.
2. Voorbeeldgegevens opnieuw afspelen.
Voorbeeldgegevens opnieuw afspelen om de benodigde tabellen te maken in uw Log Analytics-werkruimte.
- Voorbeeldgegevens verzenden (slechts eenmaal nodig per Log Analytics-werkruimte): <variabele waarde opgegeven tijdens de installatie>
3. Installeer aangepaste exporteur.
Installeer de aangepaste exporteur of de logstash-container.
4. Configureer de Corelight Sensor om logboeken te verzenden naar de Azure Log Analytics-agent.
Met behulp van de volgende waarden configureert u uw Corelight Sensor om de Microsoft Sentinel exporteur te gebruiken. U kunt ook de logstash-container configureren met deze waarden en uw sensor configureren om JSON via TCP naar die container op de juiste poort te verzenden.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire werkruimtesleutel: <variabele waarde opgegeven tijdens de installatie>
Cortex XDR - Incidenten
Ondersteund door:DEFEND Ltd.
Aangepaste gegevensconnector van DEFEND om de Cortex-API te gebruiken om incidenten van het Cortex XDR-platform op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CortexXDR_Incidents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Cortex-API-referenties: Cortex API-token is vereist voor REST API. Zie API voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies:
Cortex XDR-API inschakelen
Verbind Cortex XDR met Microsoft Sentinel via cortex-API om Cortex-incidenten te verwerken.
Cribl
Ondersteund door:Cribl
Met de Cribl-connector kunt u uw Cribl-logboeken (Cribl Enterprise Edition - Standalone) eenvoudig verbinden met Microsoft Sentinel. Dit geeft u meer inzicht in de beveiliging van de gegevenspijplijnen van uw organisatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CriblInternal_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Installatie- en installatie-instructies voor Cribl Stream voor Microsoft Sentinel
Gebruik de documentatie van deze Github-opslagplaats en configureer Cribl Stream met behulp van
https://docs.cribl.io/stream/usecase-azure-workspace/
CrowdStrike API Data Connector (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de CrowdStrike-gegevensconnector kunt u logboeken van de CrowdStrike-API opnemen in Microsoft Sentinel. Deze connector biedt de mogelijkheid om CrowdStrike-waarschuwingen, detecties, hosts, cases en beveiligingsproblemen op te nemen in Microsoft Sentinel. Deze connector is gebouwd op het Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de CrowdStrike-API om logboeken op te halen. Het ondersteunt op DCR gebaseerde opnametijdtransformaties, zodat query's efficiënter kunnen worden uitgevoerd. Raadpleeg de Documentatie voor CrowdStrike API voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CrowdStrikeAlerts |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Crowdstrike OAuth2 API-client en -bereiken: waarschuwingen, API-integraties, app-logboeken, cases, correlatieregels, detecties, hosts, assets, incidenten, in quarantaine geplaatste Files, beveiligingsproblemen zijn vereist voor REST API. Zie API voor meer informatie.
Installatie-instructies:
CrowdStrike verbinden met Microsoft Sentinel
Opmerking: Belangrijke kennisgeving: de Incidenten-API is volledig buiten gebruik gesteld. Gebruik in plaats hiervan het nieuwe gegevenstype Cases.
Als u gegevens van CrowdStrike wilt verzamelen, moet u de volgende resources opgeven
1. Basis-API-URL : als u gegevens van CrowdStrike wilt verzamelen, hebt u de URL van de basis-API nodig.
2. Client-id : als u gegevens van CrowdStrike wilt verzamelen, hebt u de client-id nodig.
3. Clientgeheim : als u gegevens van CrowdStrike wilt verzamelen, hebt u het clientgeheim nodig.
Raadpleeg de connectorzelfstudie voor gedetailleerde instructies voor het ophalen van de BASIS-API-URL, client-id en clientgeheim.
- Raster van gegevensconnectors (configureren in de portal)
Query's uitvoeren op detecties (na een geslaagde verbinding)
Zodra logboeken worden opgenomen, bevat de tabel CrowdStrikeDetections afzonderlijke waarschuwingsrecords gegroepeerd op aggregate_id. Als u echt gedrag op detectieniveau wilt weergeven, gebruikt u de volgende KQL-query om waarschuwingen op hun detectiegroep te aggregeren:
CrowdStrikeDetections
| summarize
AlertCount = count(),
FirstSeen = min(CreatedTimestamp),
LastSeen = max(CreatedTimestamp),
MaxSeverity = max(Severity)
by AggregateId
CrowdStrike Falcon Adversary Intelligence (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De CrowdStrike Falcon Indicators of Compromise-connector haalt de Indicators of Compromise op uit de Falcon Intel-API en uploadt deze Microsoft Sentinel Threat Intel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelIndicators |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- CrowdStrike API-client-id en clientgeheim: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. CrowdStrike-referenties moeten het leesbereik Indicators (Falcon Intelligence) hebben.
Installatie-instructies:
STAP 1: CrowdStrike API-referenties genereren.
Zorg ervoor dat het bereik Indicatoren (Falcon Intelligence) 'lezen' is geselecteerd
STAP 2: registreer een Entra-app met clientgeheim.
Geef de Entra App-principal op met de roltoewijzing 'Microsoft Sentinel Inzender' in de betreffende Log Analytics-werkruimte. Rollen toewijzen op Azure.
STAP 3: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de CrowdStrike Falcon Indicator of Compromise-connector implementeert, moet u de werkruimte-id hebben (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Connectorconnector crowdStrike Falcon Adversary Intelligence met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Geef de volgende parameters op: CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de CrowdStrike Falcon Adversary Intelligence-connector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld CrowdStrikeFalconIOCXXXXX).
e. Selecteer een runtime: Kies Python 3.12.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID
Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
CrowdStrike Falcon Data Replicator (AWS S3) (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Crowdstrike Falcon Data Replicator (S3)-connector biedt de mogelijkheid om FDR-gebeurtenisgegevens op te nemen in Microsoft Sentinel van de AWS S3-bucket waar de FDR-logboeken zijn gestreamd. De connector biedt de mogelijkheid om gebeurtenissen van Falcon-agents op te halen. Dit helpt bij het onderzoeken van mogelijke beveiligingsrisico's, het analyseren van het gebruik van samenwerking door uw team, het diagnosticeren van configuratieproblemen en meer.
OPMERKING:
1. CrowdStrike FDR-licentie moet beschikbaar zijn & ingeschakeld.
2. Voor de connector moet een IAM-rol worden geconfigureerd op AWS om toegang tot de AWS S3-bucket toe te staan en is deze mogelijk niet geschikt voor omgevingen die gebruikmaken van CrowdStrike - beheerde buckets.
3. Voor omgevingen die gebruikmaken van door CrowdStrike beheerde buckets, configureert u de connector CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Vereisten: voor het gebruik van de Falcon Data Replicator-functie is het volgende vereist:
Abonnement: 1.1. Falcon Data Replicator. 1.2. Falcon Insight XDR.
Rollen: 2.1. Falcon-beheerder.
Uw CrowdStrike-& AWS-omgevingen instellen Om toegang op AWS te configureren, gebruikt u de volgende twee sjablonen om de AWS-omgeving in te stellen. Hiermee kunt u logboeken van een S3-bucket verzenden naar uw Log Analytics-werkruimte.
Maak voor elke sjabloon Stack in AWS:
- Ga naar AWS CloudFormation Stacks.
- Kies de optie 'Sjabloon opgeven' en vervolgens 'Een sjabloonbestand uploaden' door op Bestand kiezen te klikken en het juiste CloudFormation-sjabloonbestand te selecteren dat hieronder wordt weergegeven. klik op Bestand kiezen en selecteer de gedownloade sjabloon.
- Klik op 'Volgende' en 'Stack maken'.
Zorg ervoor dat uw bucket wordt gemaakt in dezelfde AWS-regio als uw Falcon CID waar de FDR-feed is ingericht. | CrowdStrike-regio | AWS-regio | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | EU-1 | eu-central-1
- Sjabloon 1: Implementatie van OpenID Connect-verificatie: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWS CrowdStrike-resources: <variabele waarde die wordt opgegeven tijdens de installatie> Met behulp van uw eigen S3-bucket Als u uw eigen S3-bucket wilt gebruiken, kunt u de volgende handleiding Uw eigen S3-bucket gebruiken raadplegen of deze stappen uitvoeren:
- Ondersteuningscase maken met de volgende naam: Self S3-bucket gebruiken voor FDR
- Voeg de volgende informatie toe: 2.1. De Falcon CID waar uw FDR-feed is ingericht 2.2. Geef aan welke typen gebeurtenissen u wilt opgegeven in deze nieuwe FDR-feed. 2.3. Geef aan welke typen gebeurtenissen u wilt opgegeven in deze nieuwe FDR-feed. 2.4. Gebruik geen partities.
| Gebeurtenistype | S3-voorvoegsel |
|---|---|
| Primaire gebeurtenissen | Gegevens/ |
| Secundaire gebeurtenissen | fdrv2/ |
- Nieuwe verzamelaars verbinden Als u AWS S3 wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (met behulp van Azure-functie) (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
Met deze connector kunnen FDR-gegevens worden opgenomen in Microsoft Sentinel met behulp van Azure Functions ter ondersteuning van de evaluatie van potentiële beveiligingsrisico's, analyse van samenwerkingsactiviteiten, identificatie van configuratieproblemen en andere operationele inzichten.
OPMERKING:
1. CrowdStrike FDR-licentie moet beschikbaar zijn & ingeschakeld.
2. De connector maakt gebruik van een sleutel & geheime verificatie en is geschikt voor crowdstrike beheerde buckets.
3. Voor omgevingen die gebruikmaken van een AWS S3-bucket in volledig eigendom, raadt Microsoft aan de Connector CrowdStrike Falcon Data Replicator (AWS S3) te gebruiken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CrowdStrikeReplicatorV2 |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- SQS- en AWS S3-accountreferenties/-machtigingen: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL is vereist. Zie gegevens ophalen voor meer informatie. Neem contact op met de ondersteuning van CrowdStrike om te beginnen. Op uw verzoek maken ze een door CrowdStrike beheerde Amazon Web Services (AWS) S3-bucket voor kortetermijnopslagdoeleinden, evenals een SQS-account (eenvoudige wachtrijservice) voor het bewaken van wijzigingen in de S3-bucket.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de AWS SQS/S3 om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla API-autorisatiesleutels of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Vereisten
- FDR configureren in CrowdStrike: neem contact op met het ondersteuningsteam van CrowdStrike om CrowdStrike FDR in te schakelen.
- Zodra CrowdStrike FDR is ingeschakeld, navigeert u vanuit de CrowdStrike-console naar Ondersteuning- API-clients> en -sleutels.
- U moet nieuwe referenties maken om de AWS-toegangssleutel-id, aws geheime toegangssleutel, SQS-wachtrij-URL en AWS-regio te kopiëren.
- AAD-toepassing registreren: als DCR zich wilt laten controleren om gegevens op te nemen in log analytics, moet u de AAD-toepassing gebruiken.
- Volg de instructies hier (stap 1-5) om de AAD-tenant-id, de AAD-client-id en het AAD-clientgeheim op te halen.
- Voor AAD Principal Id van deze toepassing opent u de AAD-app via de AAD-portal en legt u object-id vast vanaf de overzichtspagina van de toepassing.
Implementatieopties
Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Crowdstrike Falcon Data Replicator-connector V2 met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Geef de vereiste details op, zoals Microsoft Sentinel Workspace, CrowdStrike AWS-referenties, Azure AD Toepassingsdetails en opnameconfiguraties
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. Het wordt aanbevolen om een nieuwe resourcegroep te maken voor de implementatie van de functie-app en de bijbehorende resources. 3. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 4. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Crowdstrike Falcon Data Replicator-connector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
DCE, DCR en aangepaste tabellen implementeren voor gegevensopname
Implementeer de vereiste DCE, DCR(s) en de aangepaste tabellen met behulp van de ARM-sjabloon Voor gegevensverzamelingsbronnen
Na een geslaagde implementatie van DCE en DCR(s), haalt u de onderstaande informatie op en houdt u deze bij de hand (vereist tijdens Azure Functions app-implementatie).
- DCE-logboekopname: volg de instructies die beschikbaar zijn in Eindpunt voor gegevensverzameling maken (stap 3).
- Onveranderbare id's van een of meer DCR's (indien van toepassing): volg de instructies die beschikbaar zijn op Gegevens verzamelen van de DCR (Stpe 2).
Een functie-app implementeren
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
De functie-app configureren
Ga naar Azure Portal voor de configuratie van de functie-app.
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //True als onbewerkte gegevens vereist zijn USER_SELECTION_REQUIRE_SECONDARY //Waar als secundaire gegevens zijn vereist MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 voor verbruik en 150 voor Premium-MAX_SCRIPT_EXEC_TIME_MINUTES // voeg hier de waarde van 10 toe AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // Bestand is aanwezig op github. Voeg toe als het bestand toegankelijk is via internet REQUIRED_FIELDS_SCHEMA_LINK //File aanwezig is op github. Voeg toe als het bestand kan worden geopend met behulp van internetplanning //Voeg waarde toe als '0 */1 * * * *', om ervoor te zorgen dat de functie elke minuut wordt uitgevoerd.
Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
CTERA Syslog
Ondersteund door:CTERA
De CTERA Data Connector voor Microsoft Sentinel biedt mogelijkheden voor bewaking en detectie van bedreigingen voor uw CTERA-oplossing. Het bevat een werkmap waarin de som van alle bewerkingen per type, verwijderingen en bewerkingen voor geweigerde toegang wordt gevisualiseerd. Het biedt ook analyseregels die ransomware-incidenten detecteren en u waarschuwen wanneer een gebruiker wordt geblokkeerd vanwege verdachte ransomware-activiteit. Daarnaast kunt u hiermee kritieke patronen identificeren, zoals gebeurtenissen die zijn geweigerd voor massatoegang, massaverwijderingen en wijzigingen in massamachtigingen, waardoor proactief bedreigingsbeheer en reactie mogelijk zijn.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Syslog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Stap 1: CTERA Platform verbinden met Syslog
Uw Syslog-verbinding met de CTERA-portal en Edge-Filer Syslog-connector instellen
Stap 2: Azure Monitor Agent (AMA) installeren op Syslog Server
Installeer de Azure Monitor Agent (AMA) op uw syslog-server om gegevensverzameling in te schakelen.
CTM360 CyberBlindSpot (serverloos)
Ondersteund door:Cyber Threat Management 360
De CTM360 Cyber Blind Spot (CBS)-connector biedt integratie met het CBS-platform van CTM360 voor het opnemen van beveiligingsgegevens in 6 moduletypen: incidenten, malwarelogboeken, geschonden referenties, gecompromitteerde kaarten, domeinschending en subdomeinschending. Deze connector maakt gebruik van het Codeless Connector Framework (CCF) voor het verzamelen van serverloze gegevens.
Gegevenstypen:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CBSLog_AzureV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- CTM360 CBS API-sleutel: een geldige CTM360 Cyber Blind Spot API-sleutel is vereist om verbinding te maken met het CBS API-eindpunt.
Installatie-instructies:
CTM360 Cyber Blind Spot verbinden met Microsoft Sentinel
Deze connector maakt gebruik van het Codeless Connector Framework (CCF) om gegevens van CTM360 CBS op te nemen in Microsoft Sentinel. Gegevens worden elke 5 minuten verzameld in 6 verschillende moduletypen.
Opmerking: Met deze connector worden 6 afzonderlijke tabellen gemaakt voor verschillende typen CBS-modules: Incidenten, Malware-logboeken, Geschonden referenties, Gecompromitteerde kaarten, Domeininbreuk en Inbreuk op subdomein.
Stap 1: CTM360-API-sleutels verkrijgen
Als u deze integratie wilt instellen, hebt u CBS API Key nodig. U kunt deze sleutels ophalen via de volgende koppelingen:
CBS API-sleutel gevonden via deze koppeling: https://platform.ctm360.com/start/integrations na logboekregistratie met uw account
Stap 2: Verbinding configureren
Voer uw CTM360 CBS API-sleutel in en maak verbinding om gegevensopname te starten.
- CTM360 CBS API-sleutel: (Voer uw CTM360 CBS API-sleutel in)
- Verbinding in-/uitschakelen
Stap 3: Gegevensopname verifiëren
Nadat u verbinding hebt gemaakt, moeten de gegevens binnen 5-10 minuten beginnen te stromen. Gebruik de bovenstaande voorbeeldquery's om de gegevensopname voor elk moduletype te controleren.
Opmerking: Opmerking: de eerste gegevensopname kan maximaal 30 minuten duren. De connector peilt elke 5 minuten met een doorlopend venster van 5 minuten.
CTM360 HackerView (serverloos)
Ondersteund door:Cyber Threat Management 360
Met de CTM360 HackerView-connector kunt u beveiligingsproblemen en beveiligingsproblemen van uw HackerView External Attack Surface Management-platform opnemen in Microsoft Sentinel. Deze serverloze connector maakt gebruik van de REST API om probleemgegevens automatisch op te halen voor analyse en correlatie met andere beveiligingsincidenten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
HackerViewLog_AzureV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- HackerView-API-sleutel: een geldige HackerView-API-sleutel met machtigingen voor toegang tot gegevens over problemen is vereist.
Installatie-instructies:
CTM360 HackerView verbinden met Microsoft Sentinel
Deze connector maakt gebruik van de HackerView REST API om beveiligingsproblemen automatisch op te nemen in Microsoft Sentinel.
Opmerking: dit is een serverloze connector die gebruikmaakt van het Codeless Connector Framework (CCF) van Azure. Er is geen Azure functie-implementatie vereist.
Stap 1: CTM360-API-sleutels verkrijgen
Voor het instellen van deze integratie hebt u HackerView API Key nodig. U kunt deze sleutels ophalen via de volgende koppelingen:
HackerView API-sleutel gevonden via deze koppeling: https://platform.ctm360.com/start/integrations na logboekregistratie met uw account
Stap 2: de connector configureren
Voer uw HackerView-API-sleutel in en klik op Verbinding maken om de gegevensopname te starten.
- API-sleutel: (Voer uw HackerView-API-sleutel in)
- Verbinding in-/uitschakelen
Stap 3: Gegevensopname verifiëren
Nadat u verbinding hebt gemaakt, moeten de gegevens binnen 5-10 minuten beginnen te stromen. Voer de volgende query uit om te controleren:
Opmerking: HackerViewLog_AzureV2_CL | nemen 10
Aangepaste logboeken via AMA
Ondersteund door:Microsoft Corporation
Veel toepassingen registreren informatie in tekst- of JSON-bestanden in plaats van standaardregistratieservices, zoals Windows-gebeurtenislogboeken, Syslog of CEF. Met de gegevensconnector voor aangepaste logboeken kunt u gebeurtenissen verzamelen van bestanden op zowel Windows- als Linux-computers en deze streamen naar aangepaste logboektabellen die u hebt gemaakt. Tijdens het streamen van de gegevens kunt u de inhoud parseren en transformeren met behulp van de DCR. Nadat u de gegevens hebt verzameld, kunt u analytische regels, opsporing, zoeken, bedreigingsinformatie, verrijkingen en meer toepassen.
OPMERKING: Gebruik deze connector voor de volgende apparaten: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP-server, Apache Tomcat, Jboss Enterprise-toepassingsplatform, Juniper IDP, MarkLogic Audit, MongoDB-audit, Nginx HTTP-server, Oracle Weblogic-server, PostgreSQL-gebeurtenissen, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat Detection SAP en AI vectra stream.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
JBossEvent_CL |
Nee | Nee |
JuniperIDP_CL |
Ja | Ja |
ApacheHTTPServer_CL |
Ja | Ja |
Tomcat_CL |
Ja | Ja |
meraki_CL |
Ja | Ja |
VectraStream_CL |
Nee | Nee |
MarkLogicAudit_CL |
Nee | Nee |
MongoDBAudit_CL |
Ja | Ja |
NGINX_CL |
Ja | Ja |
OracleWebLogicServer_CL |
Ja | Ja |
PostgreSQL_CL |
Ja | Ja |
SquidProxy_CL |
Ja | Ja |
Ubiquiti_CL |
Ja | Ja |
vcenter_CL |
Ja | Ja |
ZPA_CL |
Ja | Ja |
SecurityBridgeLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen: als u gegevens van niet-Azure VM's wilt verzamelen, moet Azure Arc zijn geïnstalleerd en ingeschakeld. Meer informatie
Installatie-instructies:
Regel voor gegevensverzameling inschakelen
Aangepaste logboeken worden verzameld van zowel Windows- als Linux-agents.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
CyberArk Audit
Ondersteund door:CyberArk Support
Met de CyberArk Audit-gegevensconnector kunnen Microsoft Sentinel beveiligingsgebeurtenislogboeken en andere gebeurtenissen van de CyberArk Audit-service opnemen via REST API. Deze integratie helpt u potentiële beveiligingsrisico's te detecteren, gebruikersactiviteiten te bewaken, samenwerkingspatronen te analyseren, configuratieproblemen op te lossen en meer inzicht te krijgen in uw omgeving.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyberArk_AuditEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- CyberArk Audit Service Platform: toegang tot het uitvoeren van vereiste configuraties in het CyberArk Audit-platform
Installatie-instructies:
Maak verbinding met de CyberArk Audit-API om te beginnen met het verzamelen van gebeurtenislogboeken in Microsoft Sentinel
Volg de onderstaande stappen om Microsoft Sentinel te integreren met CyberArk Audit en gecentraliseerde bewaking van systeem- en gebruikersactiviteiten binnen Microsoft Sentinel in te schakelen. U kunt ook de cyberark-auditdocumentatie raadplegen en volgen tot stap 5.
Stap 1: nieuwe SIEM-integratie maken
- Ga in de CyberArk-portal naar
Administration. - Selecteer
My environment>>IntegrationsExport to SIEM. - Selecteer op de pagina SIEM-integraties de optie
Create>Create SIEM integration - Selecteer op de
Create a SIEM integrationpagina deIdentity Administrationkoppeling om een OAuth-serverweb te maken in Identiteitsbeheer. Stap 2: een OAuth2-serverweb-app maken in Identiteitsbeheer - Selecteer
Identity Administrationop de pagina in het linkermenuApps & Widgets>Web Apps - Selecteer
Add Web Appsen maak eenOAuth2 servertype web-app op hetCustomtabblad. - Voer
CyberArkAuditforMicrosoftSentinelin deApplicationIDvelden en inName. - Controleer op het
Tokenstabblad of de waarde in hetToken Typeveld isjwtR256en dat alleen deClient Credsautorisatiemethode is geselecteerd. - Klik op
AddhetScopetabblad en voer inisp.audit.events:read. - Kopieer en plak het volgende script op het
Advancedtabblad en klik vervolgens op Opslaan.
setClaim('tenant_id', TenantData.Get("CybrTenantID"));
setClaim('aud', 'cyberark.isp.audit');
- Klik op
Save. Stap 3: een servicegebruiker maken in Identiteitsbeheer - Ga naar de
Core Services>Users, selecteerAdd User. - Voer in de
Accountsectie deLogin nameenDisplay namein alsMicrosoftSentinel. Voeg een nieuw wachtwoord toe of genereer het wachtwoord automatisch. - Selecteer
OAuth confidential client. - Klik op het
Application Settingstabblad opAdd. - Selecteer de
CyberArkAuditforMicrosoftSentineltoepassing. Dit is de naam die u hebt gemaakt in de webservice. Stap 4: web-app-machtigingen verlenen aan de servicegebruiker - Ga naar de
CyberArkAuditforMicrosoftSentinelweb-app die u hebt gemaakt. - Klik op het
Permissionstabblad om uw gebruikerMicrosoftSentinelte zoeken en klik vervolgens opAdd.Add - Stel de volgende machtigingen in voor de gebruiker:
- Verlenen
- Weergeven
- Uitvoeren
- Automatisch implementeren Stap 5: De beschrijving van de integratie definiëren
- Ga naar
Administration. - Selecteer
My environment>>IntegrationsExport to SIEM. - Selecteer
Create>Create SIEM integration. - Voer de naam in als
Microsoft Sentinel Integrationen voeg eventueel een beschrijving toe. - Klik op
Apply. Stap 6: CyberArk Audit Service verbinden met Microsoft Sentinel Data Connector
Opmerking: Kopieer alle gegevens die u in de vorige stappen hebt vastgelegd en maak verbinding met de CyberArk Audit-service.
- Naam van OAuth2 Server-app: (bijvoorbeeld AuditforMicrosoftSentinel)
- Api-sleutel controleren: (De API-sleutel kan worden opgehaald uit de auditservice)
- Identiteitseindpunt: (bijvoorbeeld kln9281.id.cyberark.cloud)
- API-basis-URL controleren: (bijvoorbeeld org-test.audit.cyberark.cloud)
- Queryfilteractie controleren (optioneel): (bijvoorbeeld {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
- Toepassingscode voor queryfilter controleren (optioneel): (bijvoorbeeld {"op":"include","params":["IDP","CMS"]})
- Auditqueryfilter Controletype (optioneel): (bijvoorbeeld {"op":"include","params":["Failure"]})
CyberArkAudit (met behulp van Azure Functions)
Ondersteund door:CyberArk Support
De CyberArk Audit-gegevensconnector biedt de mogelijkheid om beveiligingsgebeurtenislogboeken van de CyberArk Audit-service en meer gebeurtenissen op te halen in Microsoft Sentinel via de REST API. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyberArk_AuditEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Details en referenties van REST API-verbindingen controleren: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint en AuditApiBaseUrl zijn vereist voor het maken van API-aanroepen.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Azure Blob Storage API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
OPMERKING: API-autorisatiesleutel(s) of token(s) worden veilig opgeslagen in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden.
STAP 1- Configuratiestappen voor de CyberArk Audit SIEM-integratie
Volg de instructies om verbindingsgegevens en referenties op te halen.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de CyberArk Audit-gegevensconnector implementeert, moet u beschikken over de werkruimtenaam en werkruimtelocatie (kan worden gekopieerd uit het volgende).
- Werkruimtenaam: <variabele waarde opgegeven tijdens de installatie>
- Werkruimtelocatie: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de CyberArk Audit-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de CyberArk Audit-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld CyberArkXXXXX).
e. Selecteer een runtime: Kies Python 3.10.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditURL WorkspaceIDKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Cybersixgill Actionable Alerts (met behulp van Azure Functions)
Ondersteund door:Cybersixgill
Waarschuwingen waarvoor actie kan worden uitgevoerd, bieden aangepaste waarschuwingen op basis van geconfigureerde assets
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyberSixgill_Alerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: Client_ID en Client_Secret zijn vereist voor het maken van API-aanroepen.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Cybersixgill-API om waarschuwingen op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector cybersixgill actionable alerts met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, client-id, clientgeheim, TimeInterval en implementeren in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de cybersixgill Actionable Alerts-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor het ontwikkelen van Azure functie.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld CybersixgillAlertsXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waarin Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde in de volgende indeling op:
https://<CustomerId>.ods.opinsights.azure.us
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Cyble Vision-waarschuwingen
Ondersteund door:Cyble-ondersteuning
Met de CcF-gegevensconnector cyble vision-waarschuwingen voor waarschuwingen kunt u bedreigingswaarschuwingen van Cyble Vision opnemen in Microsoft Sentinel met behulp van de Connector Framework-connector zonder code. Het verzamelt waarschuwingsgegevens via API, normaliseert deze en slaat deze op in een aangepaste tabel voor geavanceerde detectie, correlatie en reactie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CybleVisionAlerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Cyble Vision-API-token: er is een API-token van Cyble Vision Platform vereist.
Installatie-instructies:
Stap 1: API-token genereren vanuit Cyble Platform
Navigeer naar Cyble Platform en meld u aan met uw Cyble Vision-referenties.
Wanneer u bent aangemeld, gaat u naar het linkerdeelvenster en schuift u omlaag naar Hulpprogramma's. Klik op Toegangs-API's. Klik in de rechterbovenhoek van de pagina op het pictogram + (Toevoegen) om een nieuwe API-sleutel te genereren. Geef een alias op (een beschrijvende naam voor uw sleutel) en klik op Genereren. Kopieer het gegenereerde API-token en sla het veilig op.
STAP 2: De gegevensconnector configureren
Ga terug naar Microsoft Sentinel en open de configuratiepagina van de gegevensconnector van Cyble Vision-waarschuwingen. Plak uw Cyble API-token in het veld API-token onder API-details.
- API-token: (Voer uw API-token in)
- Query-interval (in minuten): (Tijd invoeren in minuten (bijvoorbeeld 10))
- Verbinding in-/uitschakelen
Cyborg Security HUNTER Hunt Pakketten
Ondersteund door:Cyborg Security
Cyborg Security is een toonaangevende leverancier van geavanceerde oplossingen voor het opsporen van bedreigingen, met een missie om organisaties te voorzien van geavanceerde technologie en samenwerkingstools om proactief cyberbedreigingen te detecteren en erop te reageren. Het vlaggenschipaanbod van Cyborg Security, het HUNTER Platform, combineert krachtige analyses, gecureerde inhoud voor het opsporen van bedreigingen en uitgebreide mogelijkheden voor opsporingsbeheer om een dynamisch ecosysteem te creëren voor effectieve opsporingsbewerkingen.
Volg de stappen om toegang te krijgen tot cyborg Security's Community en stel de 'Open in Tool' mogelijkheden in het HUNTER-platform in.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityEvent |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Opmerking: gebruik de volgende koppeling om uw Azure Tentant-id te vinden Uw Azure Active Directory-tenant-id vinden
- ResourceGroupName & WorkspaceName: <variabele waarde opgegeven tijdens de installatie>
- WorkspaceID: <variabele waarde opgegeven tijdens de installatie>
1. Meld u aan voor het HUNTER Community-account van Cyborg Security
Cyborg Security biedt Community Memebers toegang tot een subset van de Emerging Threat Collections en hunt-pakketten.
Maak een gratis Commuinity-account om toegang te krijgen tot Cyborg Security's Hunt Packages: Meld u nu aan!
2. De functie Openen in hulpprogramma configureren
Ga naar de sectie Omgeving van het HUNTER-platform.
Vul de hoofd-URI van uw omgeving in in de sectie met het label Microsoft Sentinel. Vervang de <vetgedrukte items> door de id's en namen van uw abonnement, resourcegroepen en werkruimten.
https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/Klik op Opslaan.
3. Voer een HUNTER hunt-pacakge uit in Microsoft Sentinel
Identificeer een Cyborg Security HUNTER-jachtpakket om te implementeren en gebruik de knop Openen in tool om snel Microsoft Sentinel te openen en de opsporingsinhoud op te zetten.
Cyera DSPM Microsoft Sentinel-gegevensconnector
Ondersteund door:Cyera Inc
Met de Cyera DSPM-gegevensconnector kunt u verbinding maken met de DSPM tenant van uw Cyera en classificaties, activa, problemen en identiteitsresources/-definities opnemen in Microsoft Sentinel. De gegevensconnector is gebouwd op het codeloze connectorframework van Microsoft Sentinel en maakt gebruik van de API van Cyera om de DSPM telemetrie van Cyera op te halen die eenmaal is ontvangen, kan worden gecorreleerd met beveiligingsgebeurtenissen die aangepaste kolommen maken, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyeraClassifications_CL |
Nee | Nee |
CyeraAssets_CL |
Nee | Nee |
CyeraAssets_MS_CL |
Nee | Nee |
CyeraIssues_CL |
Nee | Nee |
CyeraIdentities_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Cyera DSPM Authentication
Verbinding maken met uw Cyera-DSPM-tenenant via persoonlijke toegangstokens
- Cyera Personal Access Token Client-id: (client_id)
- Cyera Personal Access Token Secret Key: (secret_key)
- Verbinding in-/uitschakelen
CYFIRMA-aanvalsoppervlak
Ondersteund door:CYFIRMA
N.v.t.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Ja | Ja |
CyfirmaASConfigurationAlerts_CL |
Ja | Ja |
CyfirmaASDomainIPReputationAlerts_CL |
Ja | Ja |
CyfirmaASOpenPortsAlerts_CL |
Ja | Ja |
CyfirmaASCloudWeaknessAlerts_CL |
Ja | Ja |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
CYFIRMA-aanvalsoppervlak
Maak verbinding met CYFIRMA Attack Surface om waarschuwingen op te nemen in Microsoft Sentinel. Deze connector maakt gebruik van de DeCYFIR/DeTCT API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties, waarbij beveiligingsgegevens tijdens opname in aangepaste tabellen worden geparsereerd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
- API-URL VAN CYFIRMA: (https://decyfir.cyfirma.com)
- CYFIRMA API-sleutel: (CYFIRMA API-sleutel)
- API Delta: (API Delta)
- Verbinding in-/uitschakelen
CYFIRMA Brand Intelligence
Ondersteund door:CYFIRMA
N.v.t.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Ja | Ja |
CyfirmaBIExecutivePeopleAlerts_CL |
Ja | Ja |
CyfirmaBIProductSolutionAlerts_CL |
Ja | Ja |
CyfirmaBISocialHandlersAlerts_CL |
Ja | Ja |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
CYFIRMA Brand Intelligence
Maak verbinding met CYFIRMA Brand Intelligence om waarschuwingsgegevens op te nemen in Microsoft Sentinel. Deze connector maakt gebruik van de DeCYFIR/DeTCT Alerts-API om logboeken op te halen en ondersteunt DCR-gebaseerde opnametijdtransformaties, waarbij beveiligingsgegevens tijdens opname in aangepaste tabellen worden geparsereerd. Dit verbetert de prestaties en efficiëntie door het parseren van query's te elimineren.
- API-URL VAN CYFIRMA: (https://decyfir.cyfirma.com)
- CYFIRMA API-sleutel: (CYFIRMA API-sleutel)
- API Delta: (API Delta)
- Verbinding in-/uitschakelen
MET CYFIRMA gecompromitteerde accounts
Ondersteund door:CYFIRMA
De gegevensconnector CYFIRMA Compromised Accounts maakt naadloze logboekopname van de DeCYFIR/DeTCT-API in Microsoft Sentinel mogelijk. Het is gebouwd op het Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de DeCYFIR/DeTCT-API om logboeken op te halen. Daarnaast ondersteunt het op DCR gebaseerde opnametijdtransformaties, waarmee beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparseerd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
MET CYFIRMA gecompromitteerde accounts
De CYFIRMA Compromised Accounts Data Connector maakt naadloze logboekopname van de DeCYFIR/DeTCT-API in Microsoft Sentinel mogelijk. Het is gebouwd op het Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de DeCYFIR/DeTCT-API om logboeken op te halen. Daarnaast ondersteunt het op DCR gebaseerde opnametijdtransformaties, waarmee beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparseerd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
- API-URL VAN CYFIRMA: (https://decyfir.cyfirma.com)
- CYFIRMA API-sleutel: (CYFIRMA API-sleutel)
- API Delta: (API Delta)
- Verbinding in-/uitschakelen
CYFIRMA Cyber Intelligence
Ondersteund door:CYFIRMA
De CYFIRMA Cyber Intelligence-gegevensconnector maakt naadloze logboekopname van de DeCYFIR-API in Microsoft Sentinel mogelijk. Het is gebouwd op het Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de DeCYFIR-waarschuwingen-API om logboeken op te halen. Daarnaast ondersteunt het op DCR gebaseerde opnametijdtransformaties, waarmee beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparseerd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyfirmaIndicators_CL |
Ja | Ja |
CyfirmaThreatActors_CL |
Ja | Ja |
CyfirmaCampaigns_CL |
Ja | Ja |
CyfirmaMalware_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
CYFIRMA Cyber Intelligence
Deze connector biedt de logboeken Indicatoren, Bedreigingsactoren, Malware en Campagnes van CYFIRMA Cyber Intelligence. De connector gebruikt de DeCYFIR-API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties, waarbij beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparserd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
- API-URL VAN CYFIRMA: (https://decyfir.cyfirma.com)
- CYFIRMA API-sleutel: (CYFIRMA API-sleutel)
- Alle IoC's of op maat gemaakte IoC's ophalen: (Alle IoC's of op maat gemaakte IoC's)
- API Delta: (API Delta)
- Aanbevolen acties: (Aanbevolen actie kan een van:Alle/Controleren/Blokkeren zijn)
- Bedreigingsacteur gekoppeld: (is een bedreigingsacteur gekoppeld aan de IoC's)
- Verbinding in-/uitschakelen
CYFIRMA Digital Risk
Ondersteund door:CYFIRMA
De CYFIRMA Digital Risk Alerts-gegevensconnector maakt naadloze logboekopname van de DeCYFIR/DeTCT-API in Microsoft Sentinel mogelijk. Het is gebouwd op het Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de DeCYFIR-waarschuwingen-API om logboeken op te halen. Daarnaast ondersteunt het op DCR gebaseerde opnametijdtransformaties, waarmee beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparseerd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Ja | Ja |
CyfirmaDBWMRansomwareAlerts_CL |
Ja | Ja |
CyfirmaDBWMDarkWebAlerts_CL |
Ja | Ja |
CyfirmaSPESourceCodeAlerts_CL |
Ja | Ja |
CyfirmaSPEConfidentialFilesAlerts_CL |
Ja | Ja |
CyfirmaSPEPIIAndCIIAlerts_CL |
Ja | Ja |
CyfirmaSPESocialThreatAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
CYFIRMA Digital Risk
Maak verbinding met CYFIRMA Digital Risk Alerts om logboeken op te nemen in Microsoft Sentinel. Deze connector maakt gebruik van de DeCYFIR/DeTCT API om waarschuwingen op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties voor efficiënt parseren van logboeken.
- API-URL VAN CYFIRMA: (https://decyfir.cyfirma.com)
- CYFIRMA API-sleutel: (CYFIRMA API-sleutel)
- API Delta: (API Delta)
- Verbinding in-/uitschakelen
CYFIRMA Vulnerabilities Intelligence
Ondersteund door:CYFIRMA
De CYFIRMA Vulnerabilities Intelligence-gegevensconnector maakt naadloze logboekopname van de DeCYFIR-API in Microsoft Sentinel mogelijk. Het is gebouwd op het Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de CYFIRMA-API's om logboeken op te halen. Daarnaast ondersteunt het op DCR gebaseerde opnametijdtransformaties, waarmee beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparseerd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyfirmaVulnerabilities_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
CYFIRMA Vulnerabilities Intelligence
Deze connector biedt de beveiligingslogboeken van CYFIRMA Vulnerabilities Intelligence. De connector gebruikt de DeCYFIR-API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties, waarbij beveiligingsgegevens tijdens opname in een aangepaste tabel worden geparserd. Hierdoor is het niet meer nodig om query's te parseren, waardoor de prestaties en efficiëntie worden verbeterd.
- API-URL VAN CYFIRMA: (https://decyfir.cyfirma.com)
- CYFIRMA API-sleutel: (CYFIRMA API-sleutel)
- API Delta: (API Delta)
- Aan de leverancier gekoppelde beveiligingsproblemen:
- Productgerelateerde beveiligingsproblemen:
- Product met Version-Associated beveiligingsproblemen:
- Verbinding in-/uitschakelen
Cynerio-beveiligingsevenementen
Ondersteund door:Cynerio
Met de Cynerio-connector kunt u eenvoudig uw Cynerio-beveiligingsevenementen verbinden met Microsoft Sentinel om IDS-gebeurtenissen te bekijken. Dit geeft u meer inzicht in de netwerkbeveiligingspostuur van uw organisatie en verbetert de mogelijkheden van uw beveiligingsbewerking.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CynerioEvent_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Cynerio configureren en verbinden
Cynerio kan gebeurtenissen rechtstreeks naar Microsoft Sentinel integreren en exporteren via Azure Server. Volg deze stappen om de integratie tot stand te brengen:
Ga in de Cynerio-console naar het tabblad Instellingen > Integraties (standaard) en klik rechtsboven op de knop +Integratie toevoegen .
Schuif omlaag naar de sectie SIEM .
Klik op de kaart Microsoft Sentinel op de knop Verbinding maken.
Het venster Integratiedetails wordt geopend. Gebruik de onderstaande parameters om het formulier in te vullen en de verbinding in te stellen.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Cyren Threat Intelligence
Ondersteund door:Data443 Risk Mitigation, Inc.
Ip-reputatie- en malware-URL-indicatoren van Cyren opnemen met behulp van het Common Connector Framework (CCF).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cyren_Indicators_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Cyren JWT-tokens: JWT-tokens die zijn opgeslagen in Azure Key Vault of verstrekt tijdens de implementatie.
Installatie-instructies:
Cyren Threat Intelligence verbinden
Als u de Cyren Threat Intelligence-connector wilt inschakelen, geeft u hieronder uw JWT-tokens op en klikt u op Verbinding maken.
Opmerking: U kunt een feed of beide gebruiken, afhankelijk van uw abonnement. Laat het tokenveld leeg voor een feed die u niet hebt gekocht. Alleen de connectors voor opgegeven tokens worden geïmplementeerd.
Voor betere beveiliging kunt u Key Vault-integratie inschakelen om de JWT-tokens op te slaan en op te halen.
- IP-reputatie-JWT-token (optioneel): (Leeg laten als deze niet is aangeschaft)
- JWT-token voor malware-URL (optioneel): (leeg laten als deze niet is aangeschaft)
- Verbinding in-/uitschakelen
D3 Smart SOAR-incidenten
Ondersteund door:D3 Security
De D3 Smart SOAR-gegevensconnector haalt incidenten van D3 Smart SOAR naar Microsoft Sentinel met behulp van het rest API-opdrachteindpunt zonder code.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
D3SOARIncidents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
D3 Smart SOAR verbinden met Microsoft Sentinel
Vereiste: ga in D3 Smart SOAR naar Organisatiebeheer → Sites, selecteer de site waarmee u verbinding maakt en stel de tijdzone in op (UTC+00:00) Coordinated Universal Time. Dit zorgt ervoor dat tijdstempels voor incidenten correct zijn afgestemd op Microsoft Sentinel.
Voer hieronder uw D3 Smart SOAR-verbindingsgegevens in. Incidenten worden elke 5 minuten gepeild en naar de D3SOARIncidents_CL tabel geschreven. Server-URL: de basis-URL van uw D3 Smart SOAR-implementatie, tot en met het sitepad. Neem het API-pad niet op. Gebruikersnaam: de gebruikersnaam van uw D3 Smart SOAR-account (hetzelfde als uw portalaanmelding). Site: de D3 Smart SOAR-sitenaam waartoe uw account behoort (bijvoorbeeld Security Operations). D3 JWT : een JSON-webtoken dat is uitgegeven door D3 Smart SOAR voor API-verificatie.
- Server-URL: (https://poc.bemimo.com/ce_site/VSOC)
- Gebruikersnaam: (beheerder)
- Site: (beveiligingsbewerkingen)
- D3 JWT: (ey...)
- Verbinding in-/uitschakelen
Darktrace-connector voor Microsoft Sentinel REST API
Ondersteund door:Darktrace
De Darktrace REST API-connector pusht realtime gebeurtenissen van Darktrace naar Microsoft Sentinel en is ontworpen voor gebruik met de Darktrace-oplossing voor Sentinel. De connector schrijft logboeken naar een aangepaste logboektabel met de naam 'darktrace_model_alerts_CL'; Modelschendingen, AI-analistenincidenten, systeemwaarschuwingen en Email-waarschuwingen kunnen worden opgenomen- extra filters kunnen worden ingesteld op de pagina Darktrace-systeemconfiguratie. Gegevens worden gepusht naar Sentinel van Darktrace-masters.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
darktrace_model_alerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Darktrace-vereisten: voor het gebruik van deze gegevensconnector is een Darktrace-master met v5.2+ vereist. Gegevens worden verzonden naar de Azure HTTP-gegevensverzamelaar-API bewaken via HTTP's van Darktrace-masters. Daarom is uitgaande connectiviteit van de Darktrace-master met Microsoft Sentinel REST API vereist.
- Darktrace-gegevens filteren: tijdens de configuratie is het mogelijk om extra filters in te stellen op de pagina Darktrace-systeemconfiguratie om de hoeveelheid of typen gegevens te beperken die worden verzonden.
- Probeer de Darktrace Sentinel-oplossing: U kunt deze connector optimaal gebruiken door de Darktrace-oplossing voor Microsoft Sentinel te installeren. Dit biedt werkmappen voor het visualiseren van waarschuwingsgegevens en analyseregels om automatisch waarschuwingen en incidenten te maken van Darktrace-modelschendingen en AI-analistenincidenten.
Installatie-instructies:
- Gedetailleerde installatie-instructies vindt u in de Darktrace-klantportal: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
- Noteer de werkruimte-id en de primaire sleutel. U moet deze gegevens invoeren op de pagina Darktrace-systeemconfiguratie.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Darktrace-configuratie
- Voer de volgende stappen uit op de pagina Darktrace-systeemconfiguratie:
- Ga naar de pagina Systeemconfiguratie (hoofdmenu > Beheer > Systeemconfiguratie)
- Ga naar moduleconfiguratie en klik op de configuratiekaart 'Microsoft Sentinel'
- Selecteer 'HTTPS (JSON)' en klik op 'Nieuw'
- Vul de vereiste gegevens in en selecteer de juiste filters
- Klik op Waarschuwingsinstellingen verifiëren om verificatie uit te voeren en een testwaarschuwing te verzenden
- Voer een voorbeeldquery 'Zoek naar testwaarschuwingen' uit om te controleren of de testwaarschuwing is ontvangen
DataBahn
Ondersteund door:Databahn
De DataBahn-connector biedt de mogelijkheid om realtime platformtelemetrie rechtstreeks vanuit uw DataBahn-omgeving naar Microsoft Sentinel te pushen met behulp van het CCF-pushpatroon (Codeless Connector Framework). Deze connector neemt auditlogboeken, operationele waarschuwingen en apparaatinventaris op in aangepaste Log Analytics-tabellen voor analyse, waarschuwingen en visualisatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
databahn_audit_logs_CL |
Nee | Nee |
databahn_alerts_CL |
Nee | Nee |
databahn_device_inventory_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Met deze connector kan uw DataBahn-platform auditlogboeken, waarschuwingen en apparaatinventaris rechtstreeks naar Microsoft Sentinel pushen via de Azure Monitor Ingestion-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Uw DataBahn-platform configureren
Gebruik de volgende parameters om uw DataBahn Highway-bestemming te configureren om gegevens naar de werkruimte te pushen.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Naam auditlogboeken Stream: <variabele waarde opgegeven tijdens de installatie>
- Waarschuwingen Stream name: <variabele waarde die wordt opgegeven tijdens de installatie>
- Naam van apparaatinventaris Stream: <variabele waarde opgegeven tijdens de installatie>
Datalake2Sentinel
Ondersteund door:Orange Cyberdefense
Met deze oplossing wordt de Datalake2Sentinel-connector geïnstalleerd die is gebouwd met behulp van het Codeless Connector Framework en kunt u automatisch bedreigingsinformatieindicatoren van het CTI-platform van Datalake Orange Cyberdefense opnemen in Microsoft Sentinel via de REST API voor uploadindicatoren. Nadat u de oplossing hebt geïnstalleerd, configureert en schakelt u deze gegevensconnector in door de richtlijnen te volgen in de weergave Oplossing beheren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Installatie- en installatie-instructies
Gebruik de documentatie van deze Github-opslagplaats om de Datalake te installeren en configureren voor Microsoft Sentinel connector.
https://github.com/cert-orangecyberdefense/datalake2sentinel
Dataminr Pulse Alerts Data Connector (met behulp van Azure Functions)
Ondersteund door:Dataminr-ondersteuning
Dataminr Pulse Alerts Data Connector brengt onze ai-aangedreven realtime intelligentie in Microsoft Sentinel voor snellere detectie en reactie op bedreigingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DataminrPulse_Alerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Vereiste Dataminr-referenties/machtigingen:
a. Gebruikers moeten een geldige Dataminr Pulse API-client-id en geheim hebben om deze gegevensconnector te kunnen gebruiken.
b. Een of meer Dataminr Pulse Watchlists moeten worden geconfigureerd op de Dataminr Pulse-website.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de DataminrPulse waarin logboeken worden gepusht via Dataminr RTAP en logboeken worden opgenomen in Microsoft Sentinel. Bovendien haalt de connector de opgenomen gegevens op uit de tabel met aangepaste logboeken en worden bedreigingsinformatie-indicatoren gemaakt in Microsoft Sentinel Bedreigingsinformatie. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: Referenties voor de Dataminr Pulse-client-id en het clientgeheim
- Verkrijg de gebruikers-id/het wachtwoord van Dataminr Pulse en de API-client-id/-geheim van uw Dataminr Customer Success Manager (CSM).
STAP 2: Volglijsten configureren in de Dataminr Pulse-portal.
Volg de stappen in deze sectie om volglijsten in de portal te configureren:
Meld u aan bij de Dataminr Pulse-website.
Klik op het tandwielpictogram instellingen en selecteer Lijsten beheren.
Selecteer het type volglijst dat u wilt maken (Cyber, Onderwerp, Bedrijf, enzovoort) en klik op de knop Nieuwe lijst .
Geef een naam op voor de nieuwe volglijst en selecteer een markeringskleur of behoud de standaardkleur.
Wanneer u klaar bent met het configureren van de volglijst, klikt u op Opslaan om deze op te slaan.
STAP 3: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van DataminrPulse Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 4: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van DataminrPulse Data Connector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van DataminrPulse Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 5: De rol van inzender toewijzen aan de toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 6: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Dataminr Pulse-Microsoft Sentinel-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan uit het volgende worden gekopieerd) direct beschikbaar hebben.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DataminrPulse-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Functienaam Werkruimte-ID Werkruimte SleutelwaarschuwingenTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Dataminr Pulse Microsoft Sentinel-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
1) Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld DmPulseXXXXX).
e. Selecteer een runtime: Kies Python 3.8 of hoger.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
2) De functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende waarden (hoofdlettergevoelig): Functienaam Werkruimte-ID WerkruimteSleutelwaarschuwingenTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
STAP 7: stappen na implementatie
1) Het eindpunt van de functie-app ophalen
- Ga naar Azure pagina Overzicht van de functie en klik op 'Functies' in de linkerblade.
- Klik op de functie met de naam DataminrPulseAlertsHttpStarter.
- Ga naar GetFunctionurl en kopieer de functie-URL.
- Vervang {functionname} door 'DataminrPulseAlertsSentinelOrchestrator' in de gekopieerde functie-URL.
2) Integratie-instellingen toevoegen in Dataminr RTAP met behulp van de functie-URL
- Open een API-aanvraagprogramma, zoals Postman.
- Klik op '+' om een nieuwe aanvraag te maken.
- Selecteer de HTTP-aanvraagmethode als 'POST'.
- Voer de url in punt 1) in het deel van de aanvraag-URL in.
- Selecteer in Hoofdtekst onbewerkte JSON en geef de aanvraagbody op zoals hieronder (hoofdlettergevoelig): { "integration-settings": "ADD", "url": "
(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" } - Nadat u alle vereiste details hebt opgegeven, klikt u op Verzenden.
- U ontvangt een id van de integratie-instelling in het HTTP-antwoord met de statuscode 200.
- Sla de integratie-id op voor toekomstig gebruik.
Nu zijn we klaar met het toevoegen van integratie-instellingen voor Dataminr RTAP. Zodra de Dataminr RTAP een waarschuwingsgegevens heeft verzonden, wordt de functie-app geactiveerd en moet u de waarschuwingengegevens van de Dataminr Pulse kunnen zien in de LogAnalytics-werkruimtetabel met de naam 'DataminrPulse_Alerts_CL'.
Datawiza DAP
Ondersteund door:Datawiza Technology Inc.
Verbindt de Datawiza DAP-logboeken met Azure Log Analytics via de REST API-interface
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
datawizaserveraccess_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Stap 1: lees de gedetailleerde documentatie
Het installatieproces wordt gedetailleerd beschreven op de documentatiesite Microsoft Sentinel integratie. De gebruiker moet onze ondersteuning (support@datawiza.com) raadplegen voor meer informatie over de installatie en foutopsporing van de integratie.
Stap 2: De Datawiza Sentinel Connector installeren
De volgende stap is het installeren van de Datawiza-logboek forwarder om logboeken te verzenden naar Microsoft Sentinel. De exacte installatie is afhankelijk van uw omgeving. Raadpleeg de Microsoft Sentinel integratie voor meer informatie.
Stap 3: de gegevensopname testen
Na ongeveer 20 minuten opent u de Log Analytics-werkruimte op uw Microsoft Sentinel installatie en zoekt u de sectie Aangepaste logboeken of er een datawizaserveraccess_CL tabel bestaat. Gebruik de voorbeeldquery's om de gegevens te onderzoeken.
Derdack SIGNL4
Ondersteund door:Derdack
Wanneer kritieke systemen mislukken of beveiligingsincidenten optreden, overbrugt SIGNL4 de 'last mile' naar uw personeel, technici, IT-beheerders en werknemers in het veld. Hiermee worden realtime mobiele waarschuwingen in een no-time toegevoegd aan uw services, systemen en processen. SIGNL4 meldt via permanente mobiele push, sms-tekst en spraakoproepen met bevestiging, tracering en escalatie. Geïntegreerde dienst- en ploegenplanning zorgen ervoor dat de juiste mensen op het juiste moment worden gewaarschuwd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityIncident |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
OPMERKING: Deze gegevensconnector is voornamelijk geconfigureerd aan de zijde van SIGNL4. U vindt hier een beschrijvingsvideo: SIGNL4 integreren met Microsoft Sentinel.
SIGNL4-connector: De SIGNL4-connector voor Microsoft Sentinel, Azure Security Center en andere Azure Graph beveiligings-API providers biedt naadloze integratie in twee richtingen met uw Azure Security-oplossingen. Zodra deze is toegevoegd aan uw SIGNL4-team, leest de connector beveiligingswaarschuwingen van Azure Graph beveiligings-API volledig automatisch en activeert deze waarschuwingsmeldingen voor uw teamleden in dienst. Ook wordt de waarschuwingsstatus van SIGNL4 gesynchroniseerd met Graph beveiligings-API, zodat als waarschuwingen worden bevestigd of gesloten, deze status ook wordt bijgewerkt op basis van de Azure Graph beveiligings-API waarschuwing of de bijbehorende beveiligingsprovider. Zoals vermeld, maakt de connector voornamelijk gebruik van Azure Graph beveiligings-API, maar voor sommige beveiligingsproviders, zoals Microsoft Sentinel, worden er ook toegewezen REST API's van Azure oplossingen gebruikt.
Microsoft Sentinel-functies
Microsoft Sentinel is een cloudeigen SIEM-oplossing van Microsoft en een provider voor beveiligingswaarschuwingen in Azure Graph beveiligings-API. Het niveau van waarschuwingsdetails dat beschikbaar is met de Graph beveiligings-API is echter beperkt voor Microsoft Sentinel. De connector kan waarschuwingen daarom uitbreiden met meer details (zoekresultaten voor inzichtenregels) uit de onderliggende Microsoft Sentinel Log Analytics-werkruimte. Om dit te kunnen doen, communiceert de connector met Azure Log Analytics REST API en heeft deze machtigingen nodig (zie hieronder). Bovendien kan de app ook de status van Microsoft Sentinel incidenten bijwerken, wanneer alle gerelateerde beveiligingswaarschuwingen bijvoorbeeld worden uitgevoerd of opgelost. Om dit te kunnen doen, moet de connector lid zijn van de groep 'Microsoft Sentinel Inzenders' in uw Azure-abonnement. Geautomatiseerde implementatie in Azure De referenties die nodig zijn voor toegang tot de eerder benoemde API's, worden gegenereerd door een klein PowerShell-script dat u hieronder kunt downloaden. Het script voert de volgende taken voor u uit:
- Meld u aan bij uw Azure-abonnement (meld u aan met een beheerdersaccount)
- Hiermee maakt u een nieuwe bedrijfstoepassing voor deze connector in uw Azure AD, ook wel service-principal genoemd
- Hiermee maakt u een nieuwe rol in uw Azure-IAM die alleen lees-/querymachtigingen verleent aan Azure Log Analytics-werkruimten.
- Voegt de bedrijfstoepassing toe aan die gebruikersrol
- Voegt de bedrijfstoepassing toe aan de rol 'Microsoft Sentinel Inzenders'
- Voert enkele gegevens uit die u nodig hebt om de app te configureren (zie hieronder)
Implementatieprocedure
- Download hier het PowerShell-implementatiescript.
- Controleer het script en de rollen en machtigingsbereiken die worden geïmplementeerd voor de nieuwe app-registratie. Als u de connector niet wilt gebruiken met Microsoft Sentinel, kunt u alle code voor het maken en toewijzen van rollen verwijderen en deze alleen gebruiken om de app-registratie (SPN) te maken in uw Azure Active Directory.
- Voer het script uit. Aan het einde wordt informatie uitgevoerd die u moet invoeren in de configuratie van de connector-app.
- Klik in Azure AD op App-registraties. Zoek de app met de naam 'SIGNL4AzureSecurity' en open de details ervan
- Klik op de linkermenublade op API-machtigingen. Klik vervolgens op 'Een machtiging toevoegen'.
- Klik op de blade die wordt geladen onder 'Microsoft API's' op de tegel 'Microsoft Graph' en klik vervolgens op App-machtiging.
- Vouw in de weergegeven tabel 'SecurityEvents' uit en controleer 'SecurityEvents.Read.All' en 'SecurityEvents.ReadWrite.All'.
- Klik op Machtigingen toevoegen.
De SIGNL4-connector-app configureren
Voer ten slotte de id's in die het script heeft uitgevoerd in de connectorconfiguratie:
- tenant-id Azure
- Azure Abonnements-ID
- Client-id (van de bedrijfstoepassing)
- Clientgeheim (van de bedrijfstoepassing) Zodra de app is ingeschakeld, wordt uw Azure Graph beveiligings-API waarschuwingen gelezen.
OPMERKING: In eerste instantie worden alleen de waarschuwingen gelezen die de afgelopen 24 uur zijn opgetreden.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
Digital Shadows Searchlight (met behulp van Azure Functions)
Ondersteund door:Digital Shadows
De Digital Shadows-gegevensconnector biedt opname van de incidenten en waarschuwingen van Digital Shadows Searchlight in de Microsoft Sentinel met behulp van de REST API. De connector verstrekt de informatie over incidenten en waarschuwingen, zodat het helpt bij het onderzoeken, diagnosticeren en analyseren van de mogelijke beveiligingsrisico's en bedreigingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DigitalShadows_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
REST API-referenties/-machtigingen: Digital Shadows-account-id, geheim en sleutel zijn vereist. Zie de documentatie voor meer informatie over API op de
https://portal-digitalshadows.com/learn/searchlight-api/overview/description.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een 'Digital Shadows Searchlight' om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de 'Digital Shadows Searchlight'-API
De provider moet gedetailleerde stappen opgeven of koppelen om het API-eindpunt 'Digital Shadows Searchlight' te configureren, zodat de Azure-functie deze kan verifiëren, de autorisatiesleutel of het token kan ophalen en de logboeken van het apparaat kan ophalen in Microsoft Sentinel.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de 'Digital Shadows Searchlight'-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals de API-autorisatiesleutel(s) of token voor de 'Digital Shadows Searchlight' direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de connector 'Digital Shadows Searchlight'.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, API-gebruikersnaam, API-wachtwoord en/of andere vereiste velden in.
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de connector 'Digital Shadows Searchlight' handmatig te implementeren met Azure Functions.
1. Een functie-app maken
- Navigeer vanuit de Azure Portal naar Functie-app.
- Klik bovenaan op + Maken .
- Controleer op het tabblad Basisbeginselen of Runtime-stack is ingesteld op Python 3.8.
- Controleer op het tabblad Hosting of Het type abonnement is ingesteld op 'Verbruik (serverloos)'. 5.Selecteer Opslagaccount
- 'Andere vereiste configuraties toevoegen'.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
2. Code van functie-app importeren (zip-implementatie)
- Azure CLI installeren
- Van terminaltype az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> en klik op Enter. Stel de
ResourceGroupwaarde in op: naam van uw resourcegroep. Stel deFunctionAppwaarde in op: de naam van uw zojuist gemaakte functie-app. Stel deZip Filewaarde in op:digitalshadowsConnector.zip(pad naar uw zip-bestand). Opmerking:- Download het zip-bestand via de koppeling - Functie-appcode
3. De functie-app configureren
- Klik in het scherm Functie-app op de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen 'x (aantal)' afzonderlijk toe: onder Naam, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig) onder Waarde: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (optioneel) (voeg eventuele andere instellingen toe die zijn vereist voor de functie-app) Stel de
DigitalShadowsURLwaarde in op:https://api.searchlight.app/v1Stel de waarde in op: Stel deHighVariabilityClassificationswaarde in op:exposed-credential,marked-documentStel de in opClassificationFilterOperationwaarde aan:excludevoor functie-app uitsluiten ofincludevoor functie-app opnemen
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie over Azure Key Vault verwijzingen voor meer informatie.
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://< CustomerId.ods.opinsights.azure.us>.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
DNS
Ondersteund door:Microsoft Corporation
Met de DNS-logboekconnector kunt u eenvoudig uw DNS-analyse- en auditlogboeken verbinden met Microsoft Sentinel en andere gerelateerde gegevens om het onderzoek te verbeteren.
Wanneer u DNS-logboekverzameling inschakelt, kunt u het volgende doen:
- Identificeer clients die schadelijke domeinnamen proberen om te lossen.
- Verouderde resourcerecords identificeren.
- Identificeer regelmatig opgevraagde domeinnamen en spraakmakende DNS-clients.
- De belasting van aanvragen op DNS-servers weergeven.
- Dynamische DNS-registratiefouten weergeven.
Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DnsEvents |
Ja | Ja |
DnsInventory |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Doppel-gegevensconnector
Ondersteund door:Doppel
De gegevensconnector is gebouwd op Microsoft Sentinel voor Doppel-gebeurtenissen en -waarschuwingen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen beveiligingsgebeurtenisgegevens in aangepaste kolommen worden geparseerd, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DoppelTable_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra tenant-id, client-id en clientgeheim: Microsoft Entra ID vereist een client-id en clientgeheim om uw toepassing te verifiëren. Daarnaast is toegang op het niveau Global Beheer/Owner vereist om de Entra geregistreerde toepassing een rol Resource Group Monitoring Metrics Publisher toe te wijzen.
- Vereist werkruimte-id, DCE-URI, DCR-ID: U moet de Log Analytics-werkruimte-id, DCE Logs Ingestion-URI en DCR Onveranderbare id voor de configuratie ophalen.
Installatie-instructies:
Doppel Webhook configureren
Configureer de Webhook in Doppel en Endpoint met machtigingen in Microsoft Sentinel om gegevens te verzenden.
De toepassing registreren in Microsoft Entra ID
Open de pagina Microsoft Entra ID:
- Klik op de opgegeven koppeling om de Microsoft Entra ID registratiepagina op een nieuw tabblad te openen.
- Zorg ervoor dat u bent aangemeld met een account met machtigingen op Beheer niveau.
Een nieuwe toepassing maken:
- Selecteer in de Microsoft Entra ID portal App-registraties vermeld op het tabblad aan de linkerkant.
- Klik op + Nieuwe registratie.
- Vul de volgende velden in:
- Naam: Voer een naam in voor de app (bijvoorbeeld 'Doppel-app').
- Ondersteunde accounttypen: Kies Alleen accounts in deze organisatiemap (alleen standaardmap - één tenant).
-
Omleidings-URI: laat dit leeg tenzij anders vereist.
- Klik op Registreren om de toepassing te maken.
Toepassings- en tenant-id's kopiëren:
- Zodra de app is geregistreerd, noteert u de toepassings-id (client) en map -id (tenant) op de pagina Overzicht . U hebt deze nodig voor de integratie.
Een clientgeheim maken:
- Klik in de sectie Certificaten & geheimen op + Nieuw clientgeheim.
- Voeg een beschrijving toe (bijvoorbeeld 'Doppel-geheim') en stel een vervaldatum in (bijvoorbeeld 1 jaar).
- Klik op Toevoegen.
- Kopieer de waarde van het clientgeheim onmiddellijk, omdat deze niet opnieuw wordt weergegeven.
De rol Uitgever van metrische gegevens bewaken toewijzen aan de app
Open de resourcegroep in Azure portal:
- Navigeer naar de resourcegroep die de Log Analytics-werkruimte en gegevensverzamelingsregels (DDR's) bevat waar u wilt dat de app gegevens pusht.
Wijs de rol toe:
- Klik in het menu Resourcegroep op Toegangsbeheer (IAM) vermeld op het tabblad aan de linkerkant ..
- Klik op + Toevoegen en selecteer Roltoewijzing toevoegen.
- Zoek en selecteer in de vervolgkeuzelijst Rol de rol Uitgever van metrische gegevens bewaken.
- Kies onder Toegang toewijzen aan Azure AD gebruiker, groep of service-principal.
- Zoek in het veld Selecteren naar uw geregistreerde app op naam of client-id.
- Klik op Opslaan om de rol toe te wijzen aan de toepassing.
De ARM-sjabloon implementeren
Haal de werkruimte-id op:
- Nadat u de rol hebt toegewezen, hebt u de werkruimte-id nodig.
- Navigeer naar de Log Analytics-werkruimte in de resourcegroep.
- Zoek in de sectie Overzicht het veld Werkruimte-id onder Werkruimtedetails.
- Kopieer de werkruimte-id en houd deze bij de hand voor de volgende stappen.
Klik op de knop Implementeren naar Azure:
- portal.azure.com.
- Hiermee gaat u rechtstreeks naar de Azure Portal om de implementatie te starten.
Parameters controleren en aanpassen:
- Controleer op de pagina aangepaste implementatie of u implementeert in het juiste abonnement en de juiste resourcegroep.
- Vul de parameters in, zoals werkruimtenaam, werkruimte-id en werkruimtelocatie.
Klik op Beoordelen en maken en vervolgens op Maken om de resources te implementeren.
DCE-, DCR- en Log Analytics-tabelconfiguratie controleren
Controleer het eindpunt voor gegevensverzameling (DCE):
- Ga na de implementatie naar Azure Portal-eindpunten > voor gegevensverzameling.
- Controleer of het DoppelDCE-eindpunt is gemaakt.
- Kopieer de OPNAME-URI van DCE-logboeken, omdat u deze nodig hebt voor het genereren van de webhook-URL.
Installatie van DCR (Data Collection Rule) bevestigen:
- Ga naar Azure Portal-regels > voor gegevensverzameling.
- Zorg ervoor dat de DoppelDCR-regel aanwezig is.
- Kopieer de onveranderbare id van de DCR van de pagina Overzicht, omdat u deze nodig hebt voor de webhook-URL.
Log Analytics-tabel valideren:
- Navigeer naar uw Log Analytics-werkruimte (gekoppeld aan Microsoft Sentinel).
- Controleer in de sectie Tabellen of de DoppelTable_CL tabel is gemaakt en klaar is om gegevens te ontvangen.
Doppel-waarschuwingen integreren met Microsoft Sentinel
-
Benodigde informatie verzamelen:
- Verzamel de volgende gegevens die vereist zijn voor integratie:
- Eindpunt-id voor gegevensverzameling (DCE-ID)
- Regel-id voor gegevensverzameling (DCR-ID)
- Microsoft Entra referenties: tenant-id, client-id en clientgeheim.
Coördineren met Doppel-ondersteuning:
- Deel de verzamelde DCE-ID, DCR-ID en Microsoft Entra referenties met Doppel-ondersteuning.
- Hulp vragen voor het configureren van deze details in de Doppel-tenant om webhookinstallatie in te schakelen.
Webhook setup by Doppel:
- Doppel gebruikt de opgegeven resource-id's en referenties om een webhook te configureren.
- Deze webhook vereenvoudigt het doorsturen van waarschuwingen van Doppel naar Microsoft Sentinel.
Controleer de bezorging van waarschuwingen in Microsoft Sentinel:
- Controleer of waarschuwingen van Doppel zijn doorgestuurd naar Microsoft Sentinel.
- Controleer of de werkmap in Microsoft Sentinel is bijgewerkt met de waarschuwingsstatistieken, waardoor naadloze gegevensintegratie wordt gegarandeerd.
Dragos-meldingen via cloudsitestore
Ondersteund door:Dragos Inc
Het Dragos Platform is het toonaangevende industriële cyberbeveiligingsplatform en biedt een uitgebreide detectie van cyberbedreigingen van operationele technologie (OT), gebouwd door ongeëvenaarde industriële cyberbeveiligingsexpertise. Met deze oplossing kunnen dragos Platform-meldingsgegevens worden bekeken in Microsoft Sentinel, zodat beveiligingsanalisten potentiële cyberbeveiligingsgebeurtenissen in hun industriële omgevingen kunnen analyseren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DragosAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
-
Toegang tot de Sitestore-API van Dragos: een Sitestore-gebruikersaccount met de
notification:readmachtiging. Dit account moet ook een API-sleutel hebben die kan worden verstrekt aan Sentinel.
Installatie-instructies:
Geef de volgende informatie op zodat Microsoft Sentinel verbinding kan maken met uw Dragos-sitestore.
- Hostnaam dragos-sitestore: (dragossitestore.example.com)
- Api-sleutel-id voor Dragos Sitestore: (Voer de API-sleutel-id in.)
- Api-sleutelgeheim voor Dragos Sitestore: (Voer het API-sleutelgeheim in)
- Minimale ernst van melding. Geldige waarden zijn 0-5 inclusief. Zorg ervoor dat de maximale ernst kleiner dan of gelijk is aan.: (Voer de minimale ernst in (aanbevolen 0 voor alle meldingen))
- Maximale ernst van melding. Geldige waarden zijn 0-5 inclusief. Zorg ervoor dat de ernst groter dan of gelijk is aan de minimale ernst.: (Voer de maximale ernst in (aanbevolen 5 voor alle meldingen))
- Verbinding in-/uitschakelen
Druva Events Connector
Ondersteund door:Druva Inc
Biedt de mogelijkheid om de Druva-gebeurtenissen van Druva-API's op te nemen
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DruvaSecurityEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Druva API-toegang: Druva-API vereist een client-id en clientgeheim om te verifiëren
Installatie-instructies:
Opmerking: configuraties om verbinding te maken met Druva Rest API
Stap 1: Referenties maken vanuit de Druva-console. Raadpleeg dit document voor stappen: https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials
Stap 2: Voer de hostnaam in. Voor openbare cloud de apis.druva.com
Stap 3: voer de client-id en de geheime clientsleutel in
Verbinding maken met druva-API om logboeken te verzamelen in Microsoft Sentinel
Geef de vereiste waarden op:
- Hostnaam: (voorbeeld: apis.druva.com)
Dynamics 365 Finance en bewerkingen
Ondersteund door:Microsoft Corporation
Dynamics 365 for Finance and Operations is een uitgebreide ERP-oplossing (Enterprise Resource Planning) die financiële en operationele mogelijkheden combineert om bedrijven te helpen hun dagelijkse activiteiten te beheren. Het biedt een reeks functies waarmee bedrijven werkstromen kunnen stroomlijnen, taken kunnen automatiseren en inzicht kunnen krijgen in operationele prestaties.
De connector voor Dynamics 365 Finance- en Operations-gegevens neemt activiteiten van Dynamics 365 Finance- en Operations-beheerders en auditlogboeken op, evenals de aanmeldingen van bedrijfsprocessen en toepassingsactiviteiten van gebruikers in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
FinanceOperationsActivity_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra app-registratie: toepassingsclient-id en geheim die worden gebruikt voor toegang tot Dynamics 365 Finance en bewerkingen.
Installatie-instructies:
Voor connectiviteit met Finance and Operations is een Microsoft Entra app-registratie (client-id en geheim) vereist. U hebt ook de Microsoft Entra tenant-id en de URL van de Finance Operations-organisatie nodig.
Als u gegevensverzameling wilt inschakelen, maakt u een rol in Dynamics 365 Finance en bewerkingen met machtigingen om de entiteit Databaselogboek weer te geven. Wijs deze rol toe aan een toegewezen Finance and Operations-gebruiker, toegewezen aan de client-id van een Microsoft Entra app-registratie. Volg deze stappen om het proces te voltooien:
Stap 1: Microsoft Entra app-registratie
- Ga naar de Microsoft Entra portal.
- Klik onder Toepassingen op App-registraties en maak een nieuwe app-registratie (laat alle standaardwaarden staan).
- Open de nieuwe app-registratie en maak een nieuw geheim.
- Behoud de tenant-id, de toepassings-id (client) en het clientgeheim voor later gebruik.
Stap 2: een rol maken voor gegevensverzameling in Finance and Operations
- Navigeer in de portal Finance and Operations naar Werkruimten > Systeembeheer en klik op Beveiligingsconfiguratie
- Klik onder Rollen op Nieuwe maken en geef de nieuwe rol een naam, bijvoorbeeld Databaselogboekviewer.
- Selecteer de nieuwe rol in de lijst met rollen en klik op Bevoegdheden en vervolgens Op Verwijzingen toevoegen.
- Selecteer Entiteitsweergave databaselogboek in de lijst met bevoegdheden.
- Klik op Niet-gepubliceerde objecten en klik vervolgens op Alles publiceren om de rol te publiceren.
Stap 3: een gebruiker maken voor gegevensverzameling in Finance and Operations
- Navigeer in de portal Finance and Operations naar Modules > Systeembeheer en klik op Gebruikers
- Maak een nieuwe gebruiker en wijs de rol die in de vorige stap is gemaakt toe aan de gebruiker.
Stap 4: de Microsoft Entra-app registreren in Finance and Operations
- Navigeer in de F&O-portal naar Systeembeheer > instellen > Microsoft Entra toepassingen (Azure Active Directory-toepassingen)
- Maak een nieuwe vermelding in de tabel. Voer in het veld Client-id de toepassings-id in van de app die is geregistreerd in stap 1.
- Voer in het veld Naam een naam in voor de toepassing.
- Selecteer in het veld Gebruikers-id de gebruikers-id die u in de vorige stap hebt gemaakt.
Gebeurtenissen van Dyanmics 365 Finance and Operations verbinden met Microsoft Sentinel
Verbinding maken met behulp van clientreferenties
Organisaties
Elke rij vertegenwoordigt een Finance and Operations-verbinding
- Raster van gegevensconnectors (configureren in de portal)
Dynamics365
Ondersteund door:Microsoft Corporation
De Dynamics 365 CdS-activiteitenconnector (Common Data Service) biedt inzicht in beheer-, gebruikers- en ondersteuningsactiviteiten, evenals microsoft Social Engagement-logboekgebeurtenissen. Door Dynamics 365 CRM-logboeken te verbinden met Microsoft Sentinel, kunt u deze gegevens bekijken in werkmappen, deze gebruiken om aangepaste waarschuwingen te maken en uw onderzoeksproces te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Dynamics365Activity |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Dynatrace-aanvallen V1
Ondersteund door:Dynatrace
Deze connector gebruikt de Dynatrace Attacks REST API om gedetecteerde aanvallen op te nemen in Microsoft Sentinel Log Analytics
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceAttacks_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig waarvoor Application Security is ingeschakeld. Lees meer over het Dynatrace-platform.
- Dynatrace-toegangstoken: u hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Leesaanvallen (attacks.read) hebben.
Installatie-instructies:
Dynatrace-aanvalsevenementen om te Microsoft Sentinel
Dynatrace-toepassingsbeveiliging configureren en inschakelen. Volg deze instructies om een toegangstoken te genereren.
Dynatrace Attacks V2
Ondersteund door:Dynatrace
Deze connector gebruikt de Dynatrace Attacks REST API om gedetecteerde aanvallen op te nemen in Microsoft Sentinel Log Analytics
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceAttacksV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig waarvoor Application Security is ingeschakeld. Lees meer over het Dynatrace-platform.
- Dynatrace-toegangstoken: u hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Leesaanvallen (attacks.read) hebben.
Installatie-instructies:
Dynatrace-aanvalsevenementen om te Microsoft Sentinel
Dynatrace-toepassingsbeveiliging configureren en inschakelen. Volg deze instructies om een toegangstoken te genereren.
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Dynatrace-toegangstoken: ({{dynatraceAccessToken}})
- Verbinding in-/uitschakelen
Dynatrace-auditlogboeken V1
Ondersteund door:Dynatrace
Deze connector maakt gebruik van de Dynatrace Audit Logs REST API om auditlogboeken van tenants op te nemen in Microsoft Sentinel Log Analytics
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceAuditLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig voor meer informatie over het Dynatrace-platform Start uw gratis proefversie.
- Dynatrace-toegangstoken: u hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Auditlogboeken lezen (auditLogs.read) hebben.
Installatie-instructies:
Dynatrace-auditlogboekgebeurtenissen om te Microsoft Sentinel
Schakel Dynatrace Audit Logging in. Volg deze instructies om een toegangstoken te genereren.
Dynatrace-auditlogboeken V2
Ondersteund door:Dynatrace
Deze connector maakt gebruik van de Dynatrace Audit Logs REST API om auditlogboeken van tenants op te nemen in Microsoft Sentinel Log Analytics
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceAuditLogsV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig voor meer informatie over het Dynatrace-platform Start uw gratis proefversie.
- Dynatrace-toegangstoken: u hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Auditlogboeken lezen (auditLogs.read) hebben.
Installatie-instructies:
Dynatrace-auditlogboekgebeurtenissen om te Microsoft Sentinel
Schakel Dynatrace Audit Logging in. Volg deze instructies om een toegangstoken te genereren.
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Dynatrace-toegangstoken: ({{dynatraceAccessToken}})
- Verbinding in-/uitschakelen
Dynatrace-problemen V1
Ondersteund door:Dynatrace
Deze connector gebruikt de Dynatrace Problem REST API om probleemgebeurtenissen op te nemen in Microsoft Sentinel Log Analytics
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceProblems_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig voor meer informatie over het Dynatrace-platform Start uw gratis proefversie.
- Dynatrace-toegangstoken: u hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Leesproblemen (problemen.lezen) hebben.
Installatie-instructies:
Dynatrace-probleem gebeurtenissen die moeten worden Microsoft Sentinel
Volg deze instructies om een toegangstoken te genereren.
Dynatrace-problemen V2
Ondersteund door:Dynatrace
Deze connector gebruikt de Dynatrace Problem REST API om probleemgebeurtenissen op te nemen in Microsoft Sentinel Log Analytics
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceProblemsV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig voor meer informatie over het Dynatrace-platform Start uw gratis proefversie.
- Dynatrace-toegangstoken: u hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Leesproblemen (problemen.lezen) hebben.
Installatie-instructies:
Dynatrace-probleem gebeurtenissen die moeten worden Microsoft Sentinel
Volg deze instructies om een toegangstoken te genereren.
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Dynatrace-toegangstoken: ({{dynatraceAccessToken}})
- Verbinding in-/uitschakelen
Dynatrace Runtime-beveiligingsproblemen V1
Ondersteund door:Dynatrace
Deze connector maakt gebruik van de Dynatrace Security Problem REST API om gedetecteerde runtime-beveiligingsproblemen op te nemen in Microsoft Sentinel Log Analytics.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceSecurityProblems_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig waarvoor Application Security is ingeschakeld. Lees meer over het Dynatrace-platform.
- Dynatrace-toegangstoken: U hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Leesbeveiligingsproblemen (securityProblems.read) hebben.
Installatie-instructies:
Dynatrace-beveiligingsproblemen gebeurtenissen om te Microsoft Sentinel
Dynatrace-toepassingsbeveiliging configureren en inschakelen. Volg deze instructies om een toegangstoken te genereren.
Dynatrace Runtime-beveiligingsproblemen V2
Ondersteund door:Dynatrace
Deze connector maakt gebruik van de Dynatrace Security Problem REST API om gedetecteerde runtime-beveiligingsproblemen op te nemen in Microsoft Sentinel Log Analytics.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DynatraceSecurityProblemsV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): U hebt een geldige Dynatrace-tenant nodig waarvoor Application Security is ingeschakeld. Lees meer over het Dynatrace-platform.
- Dynatrace-toegangstoken: U hebt een Dynatrace-toegangstoken nodig. Het token moet het bereik Leesbeveiligingsproblemen (securityProblems.read) hebben.
Installatie-instructies:
Dynatrace-beveiligingsproblemen gebeurtenissen om te Microsoft Sentinel
Dynatrace-toepassingsbeveiliging configureren en inschakelen. Volg deze instructies om een toegangstoken te genereren.
- Dynatrace-tenant (bijvoorbeeld xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
- Dynatrace-toegangstoken: ({{dynatraceAccessToken}})
- Verbinding in-/uitschakelen
Elastische agent
Ondersteund door:Microsoft Corporation
De gegevensconnector voor elastische agent biedt de mogelijkheid om logboeken, metrische gegevens en beveiligingsgegevens van de Elastische agent op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ElasticAgentEvent |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Aangepaste vereisten opnemen als de connectiviteit vereist- anders douane verwijderen: Beschrijving voor eventuele aangepaste vereisten
Installatie-instructies:
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht ElasticAgentEvent dat wordt geïmplementeerd met de Microsoft Sentinel Solution.
OPMERKING: deze gegevensconnector is ontwikkeld met elastic agent 7.14.
1. De agent installeren en onboarden voor Linux of Windows
Installeer de agent op de server waar de logboeken van de elastische agent worden doorgestuurd.
Logboeken van elastische agents die zijn geïmplementeerd op Linux- of Windows-servers, worden verzameld door Linux- of Windows-agents.
Kies waar u de Linux-agent wilt installeren:
Agent installeren op Azure Linux virtuele machine
Selecteer de computer waarop u de agent wilt installeren en klik vervolgens op Verbinding maken.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Agent installeren op een niet-Azure Linux machine
Download de agent op de relevante computer en volg de instructies.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Kies waar u de Windows-agent wilt installeren:
Agent installeren op Azure virtuele Windows-machine
Selecteer de computer waarop u de agent wilt installeren en klik vervolgens op Verbinding maken.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Agent installeren op een niet-Azure Windows-computer
Download de agent op de relevante computer en volg de instructies.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
2. Elastische agent configureren (zelfstandig)
Volg de instructies om elastische agent te configureren voor uitvoer naar Logstash
3. Logstash configureren om Microsoft Logstash Output Plugin te gebruiken
Volg de stappen om Logstash te configureren voor het gebruik van de invoegtoepassing microsoft-logstash-output-azure-loganalytics:
3.1) Controleer of de invoegtoepassing al is geïnstalleerd: ./logstash-plugin list | grep 'azure-loganalytics' (als de invoegtoepassing is geïnstalleerd, gaat u naar stap 3.3)
3.2) Invoegtoepassing installeren: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics
3.3) Logstash configureren om de invoegtoepassing te gebruiken
4. Logboekopname valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van een aangepaste tabel die is opgegeven in stap 3.3 (bijvoorbeeld ElasticAgentLogs_CL).
Het kan ongeveer 30 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Elastische agent (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de gegevensconnector voor elastische agent kunt u metrische systeemgegevens, logboeken en telemetriegegevens die door Elastic Agent zijn verzameld, opnemen in Microsoft Sentinel. Deze connector maakt gebruik van de Elasticsearch Search-API met API-sleutelverificatie om query's uit te voeren op meerdere gegevensstromen (CPU, geheugen, proces, bestandssysteem, netwerk, belasting, uptime, metrische agentgegevens en logboeken). Het ondersteunt op DCR gebaseerde opnametijdtransformaties voor efficiënte uitvoering van query's. Zie de API-documentatie voor meer informatie: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ElasticAgentLogsV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
1. Vereisten
Zorg ervoor dat u over de vereiste toegang en configuratie beschikt.
Vereisten
- Een Elasticsearch-implementatie (zelfbeheerd of Elastische cloud)
- Elastische agent geïmplementeerd met systeemintegratie ingeschakeld
- Agentbewaking ingeschakeld voor logboeken en metrische gegevens
- Elasticsearch-API-sleutel met leesmachtigingen voor alle indexen
- Netwerkverbinding van Microsoft Sentinel met uw Elasticsearch-eindpunt
Vereiste indexen
De connector voert query's uit op de volgende Elasticsearch-indexen:
Statistieken:
-
metrics-system.cpu-*- Metrische CPU-gegevens -
metrics-system.memory-*- Metrische gegevens over geheugen -
metrics-system.process-*- Metrische gegevens verwerken -
metrics-system.filesystem-*- Metrische gegevens van bestandssysteem -
metrics-system.network-*- Metrische netwerkgegevens -
metrics-system.load-*- Systeembelasting (alleen Linux) -
metrics-system.uptime-*- Systeem uptime -
metrics-elastic_agent.*- Agenttelemetrie
Logs:
-
logs-elastic_agent-*- Agentlogboeken
2. Elasticsearch-verbindingen configureren
Voeg een of meer Elasticsearch-verbindingen toe om gegevens te verzamelen.
Elasticsearch-verbindingen
U kunt meerdere verbindingen toevoegen om gegevens uit verschillende Elasticsearch-implementaties te verzamelen. Elke verbinding vereist een eigen Elasticsearch-URL en API-sleutel.
Een API-sleutel maken
- Ga in Kibana naar Stack Management-API-sleutels >
- Klik op API-sleutel maken
- Een naam instellen en machtigingen configureren:
- Leestoegang tot
metrics-system.* - Leestoegang tot
metrics-elastic_agent.* - Leestoegang tot
logs-elastic_agent-*
- Leestoegang tot
- De met Base64 gecodeerde API-sleutelwaarde kopiëren
- Raster van gegevensconnectors (configureren in de portal)
Ermes Browser Security Events
Ondersteund door:Ermes Cyber Security S.p.A.
Ermes Browser Security Events
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Ermes-client-id en clientgeheim: API-toegang inSchakelen in Ermes. Neem contact op met de ondersteuning van Ermes Cyber Security voor meer informatie.
Installatie-instructies:
Ermes Browser Security Events verbinden met Microsoft Sentinel
Verbinding maken met behulp van OAuth2-referenties
- API-URL (optioneel): (https://api.shield.ermessecurity.com)
ESET Protect Platform (met behulp van Azure Functions)
Ondersteund door:ESET Enterprise Integrations
Met de GEGEVENSconnector van ESET Protect Platform kunnen gebruikers detectiegegevens van ESET Protect Platform injecteren met behulp van de opgegeven Rest API voor integratie. Rest API voor integratie wordt uitgevoerd zoals gepland Azure functie-app.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
IntegrationTable_CL |
Ja | Ja |
IntegrationTableIncidents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Machtiging voor het registreren van een toepassing in Microsoft Entra ID: er zijn voldoende machtigingen vereist om een toepassing te registreren bij uw Microsoft Entra tenant.
- Machtiging voor het toewijzen van een rol aan de geregistreerde toepassing: machtiging om de rol Uitgever van bewakingsgegevens toe te wijzen aan de geregistreerde toepassing in Microsoft Entra ID is vereist.
Installatie-instructies:
OPMERKING: De GEGEVENSconnector van ESET Protect Platform maakt gebruik van Azure Functions om via de ESET Connect-API verbinding te maken met het ESET Protect-platform om detectielogboeken op te halen in Microsoft Sentinel. Dit proces kan leiden tot extra kosten voor gegevensopname. Meer informatie vindt u op de pagina met prijzen voor Azure Functions.
OPMERKING: De nieuwste versie van het ESET PROTECT-platform en Microsoft Sentinel-integratie haalt niet alleen detectielogboeken op, maar ook nieuw gemaakte incidenten. Als uw integratie is ingesteld vóór 20.06.2025, volgt u deze stappen om deze bij te werken.
Stap 1: een API-gebruiker maken
Gebruik deze instructie om een ESET Connect API-gebruikersaccount met aanmelding en wachtwoord te maken.
Stap 2: een geregistreerde toepassing maken
Maak een Microsoft Entra ID geregistreerde toepassing door de stappen in de instructie Een nieuwe toepassing registreren te volgen.
Stap 3: de GEGEVENSconnector van ESET Protect Platform implementeren met behulp van de arm-sjabloon (Azure Resource Manager)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer de naam van de Log Analytics-werkruimte die is gekoppeld aan uw Microsoft Sentinel. Selecteer dezelfde resourcegroep als de resourcegroep van de Log Analytics-werkruimte.
Typ de parameters van de geregistreerde toepassing in Microsoft Entra ID: Azure Client-id, Azure Clientgeheim, Azure Tenant-id, Object-id. U kunt de object-id in Azure Portal vinden door dit pad te volgen Microsoft Entra ID -> Beheren (in het menu aan de linkerkant) -> Bedrijfstoepassingen -> kolom Object-id (de waarde naast de geregistreerde toepassingsnaam).
Geef het aanmeldings- en wachtwoord voor het ESET Connect API-gebruikersaccount op dat is verkregen in stap 1.
Selecteer een of meer ESET-producten (ESET PROTECT, ESET Inspect, ESET Cloud Office Security) waaruit detecties worden opgehaald.
Exchange Security Insights On-Premises Collector
Ondersteund door:Community
Connector die wordt gebruikt om exchange on-premises beveiligingsconfiguratie te pushen voor Microsoft Sentinel-analyse
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ESIExchangeConfig_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Serviceaccount met de rol Organisatiebeheer: het serviceaccount dat het script als geplande taak start, moet Organisatiebeheer zijn om alle benodigde beveiligingsgegevens op te kunnen halen.
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
1. Installeer het ESI Collector-script op een server met Exchange Beheer PowerShell-console
Dit is het script waarmee Exchange-gegevens worden verzameld om inhoud in Microsoft Sentinel te pushen.
Scriptimplementatie
De nieuwste versie van ESI Collector downloaden
De meest recente versie vindt u hier: https://aka.ms/ESI-ExchangeCollector-Script. Het te downloaden bestand is CollectExchSecIns.zip
De scriptmap kopiëren
Pak de inhoud uit en kopieer de scriptmap op een server waarop Exchange PowerShell-cmdlets aanwezig zijn.
De blokkering van de PS1-scripts opheffen
Klik met de rechtermuisknop op elk PS1-script en ga naar het tabblad Eigenschappen. Als het script is gemarkeerd als geblokkeerd, deblokkeert u het. U kunt ook de cmdlet Unblock-File gebruiken in de uitgepakte map met behulp van PowerShell.
**Netwerktoegang configureren **
Zorg ervoor dat het script contact kan opnemen met Azure Analytics (*.ods.opinsights.azure.com).
2. Het ESI Collector-script configureren
Zorg ervoor dat u de lokale beheerder van de server bent. Start in de modus Uitvoeren als administrator het script 'setup.ps1' om de collector te configureren. Vul de gegevens van de Log Analytics-werkruimte (Microsoft Sentinel) in. Vul de omgevingsnaam in of laat leeg. Kies standaard 'Def' als Standaardanalyse. De andere opties zijn voor specifiek gebruik.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
3. Plan het ESI Collector-script (indien niet uitgevoerd door het installatiescript vanwege een gebrek aan machtigingen of genegeerd tijdens de installatie)
Het script moet worden gepland om de Exchange-configuratie te verzenden naar Microsoft Sentinel. U wordt aangeraden het script eenmaal per dag te plannen. Het account dat wordt gebruikt om het script te starten, moet lid zijn van de groep Organisatiebeheer
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Parsers worden automatisch geïmplementeerd met de oplossing. Volg de stappen om de Kusto Functions-alias te maken: ExchangeAdminAuditLogs
Parsers worden automatisch geïmplementeerd tijdens de implementatie van de oplossing. Als u handmatig wilt implementeren, volgt u de onderstaande stappen
Handmatige parserimplementatie
1. Het parserbestand downloaden
De nieuwste versie van het bestand ExchangeAdminAuditLogs
2. De functie Parser ExchangeAdminAuditLogs maken
Kopieer in logboekverkenner van de log analytics van uw Microsoft Sentinel de inhoud van het bestand naar Log Explorer
3. De functie Parser ExchangeAdminAuditLogs opslaan
Klik op de knop Opslaan. Er is geen parameter nodig voor deze parser. Klik nogmaals op Opslaan.
Exchange Security Insights Online Collector (met behulp van Azure Functions)
Ondersteund door:Community
Connector die wordt gebruikt voor het pushen van Exchange Online-beveiligingsconfiguratie voor Microsoft Sentinel-analyse
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- machtigingen microsoft.automation/automationaccounts: lees- en schrijfmachtigingen voor het maken van een Azure Automation met een runbook is vereist. Zie Automation-account voor meer informatie.
- Microsoft.Graph-machtigingen: De machtigingen Groups.Read, Users.Read en Auditing.Read zijn vereist voor het ophalen van gebruikers-/groepsgegevens die zijn gekoppeld aan Exchange Online toewijzingen. Raadpleeg de documentatie voor meer informatie.
- Exchange Online machtigingen: Exchange.ManageAsApp-machtiging en globale lezer of rol van beveiligingslezer zijn vereist om de Exchange Online Beveiligingsconfiguratie op te halen.Raadpleeg de documentatie voor meer informatie.
- (Optioneel) Logboekopslagmachtigingen: Opslagblobgegevensbijdrager voor een opslagaccount dat is gekoppeld aan de beheerde identiteit van het Automation-account of een toepassings-id is verplicht om logboeken op te slaan. Raadpleeg de documentatie voor meer informatie.
Installatie-instructies:
OPMERKING - BIJWERKEN
Opmerking:
OPMERKING - UPDATE:
U wordt aangeraden de collector bij te werken naar versie 7.6.0.0 of hoger. De procedure voor het bijwerken van collectorscripts vindt u hier: ESI Online Collector Update
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Volg de stappen voor elke parser om de Kusto Functions-alias te maken: ExchangeConfiguration en **ExchangeEnvironmentList STEP 1 - Parsers deployment**
Parser-implementatie (wanneer u Microsoft Exchange Security Solution gebruikt, worden parsers automatisch geïmplementeerd)
1. De parserbestanden downloaden
De nieuwste versie van de 2 bestanden ExchangeConfiguration.yaml en ExchangeEnvironmentList.yaml
2. De functie Parser ExchangeConfiguration maken
Kopieer in logboekverkenner van de log analytics van uw Microsoft Sentinel de inhoud van het bestand naar Log Explorer
3. De functie Parser ExchangeConfiguration opslaan
Klik op de knop Opslaan. Definieer de parameters zoals gevraagd voor de header van het parserbestand. Klik nogmaals op Opslaan.
4. Dezelfde stappen reproduceren voor Parser ExchangeEnvironmentList
Reproduceer stap 2 en 3 met de inhoud van het bestand ExchangeEnvironmentList.yaml
OPMERKING: Deze connector gebruikt Azure Automation om verbinding te maken met 'Exchange Online' om de beveiligingsanalyse in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Automation prijzen voor meer informatie.
STAP 2: kies EEN uit de volgende twee implementatieopties om de connector en de bijbehorende Azure Automation
BELANGRIJK: Voordat u de connector 'ESI Exchange Online Security Configuration' implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) en de Exchange Online tenantnaam (contoso.onmicrosoft.com) direct beschikbaar hebben.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de connector 'ESI Exchange Online Security Configuration'.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de vereiste velden Werkruimte-id, Werkruimtesleutel, Tenantnaam en/of Overige in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om de connector 'ESI Exchange Online Security Configuration' handmatig te implementeren met Azure Automation.
A. Het Azure Automation-account maken
- Navigeer vanuit de Azure Portal naar Azure Automation Account.
- Klik bovenaan op + Toevoegen .
- Vul op het tabblad Basis de vereiste velden in en geef de Azure Automation een naam.
- Laat op de tabbladen Geavanceerd en Netwerken en Tags velden als standaard staan als u ze niet hoeft aan te passen.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. Exchange Online management module, Microsoft Graph (verificatie, gebruiker en groep) modules toevoegen
- Selecteer modules op de pagina Automation-account.
- Klik op Bladeren in galerie en zoek in de module ExchangeOnlineManagement .
- Selecteer deze en klik op Selecteren.
- Kies Versie 5.1 in het veld Runtime-versie en klik op de knop Importeren. Herhaal de stap voor de volgende modules: 'Microsoft.Graph.Authentication', 'Microsoft.Graph.Users' en 'Microsoft.Graph.Groups'. Let op: u moet wachten op de installatie van Microsoft.Graph.Authentication voordat u de volgende modules verwerkt
C. De runbook-inhoud downloaden
- Download de nieuwste versie van ESI Collector. De meest recente versie vindt u hier: https://aka.ms/ESI-ExchangeCollector-Script
- Pak het bestand uit om het JSON-bestand en het PS1-bestand te vinden voor de volgende stap.
D. Runbook maken
- Selecteer op de pagina Automation-account de knop Runbooks .
- Klik op Een runbook maken en geef het de naam 'ESI-Collector' met een runbooktype PowerShell, runtimeversie 5.1 en klik op Maken.
- Importeer de inhoud van het PS1-bestand van de vorige stap in het runbookvenster.
- Klik op Publiceren
E. GlobalConfiguration-variabele maken
- Selecteer op de pagina Automation-account de knop Variabelen .
- Klik op Een variabele toevoegen en geef deze de naam GlobalConfiguration met het type Tekenreeks.
- Kopieer in het veld Waarde de inhoud van het JSON-bestand van de vorige stap.
- Vervang in de inhoud de waarden WorkspaceID en WorkspaceKey.
- Klik op de knop Maken.
F. TenantName-variabele maken
- Selecteer op de pagina Automation-account de knop Variabelen .
- Klik op Een variabele toevoegen en geef deze de naam TenantName met het type Tekenreeks.
- Schrijf in het veld Waarde de tenantnaam van uw Exchange Online.
- Klik op de knop Maken.
G. LastDateTracking-variabele maken
- Selecteer op de pagina Automation-account de knop Variabelen .
- Klik op Een variabele toevoegen en noem deze exaclty 'LastDateTracking' met een type String.
- Schrijf in het veld Waarde 'Nooit'.
- Klik op de knop Maken.
H. Een runbookplanning maken
- Selecteer op de pagina Automation-account de knop Runbook en klik op het gemaakte runbook.
- Klik op Planningen en een planning toevoegen .
- Klik op Planning, Een planning toevoegen en geef deze een naam. Selecteer Terugkerende waarde met een terugkeer van elke 1 dag en klik op Maken.
- Klik op Parameters configureren en instellingen uitvoeren. Laat alles leeg en klik nogmaals op OK en OK .
STAP 3: Microsoft Graph-machtigingen en Exchange Online-machtiging toewijzen aan een beheerd identiteitsaccount
Als u Exchange Online gegevens wilt verzamelen en gebruikersgegevens en ledenlijst van beheerdersgroepen wilt ophalen, heeft het Automation-account meerdere machtigingen nodig.
Machtigingen toewijzen per script
A. Machtigingsscript downloaden
B. Haal de Azure Automation Managed Identity-GUID op en voeg deze in het gedownloade script in
- Ga naar uw Automation-account in de sectie Identiteit . U vindt de guid van uw beheerde identiteit.
- Vervang de GUID in $MI_ID = 'XXXXXXXXXXX' door de GUID van uw beheerde identiteit.
C. Het script starten met een globale beheerdersaccount
Let op dit script vereist MSGraph Modules en Beheer Toestemming voor toegang tot uw tenant met Microsoft Graph. Het script voegt drie machtigingen toe aan de beheerde identiteit: 1. Exchange Online ManageAsApp-machtiging 2. User.Read.All op Microsoft Graph API 3. Group.Read.All op Microsoft Graph API
D. roltoewijzing Exchange Online
- Als globale beheerder gaat u naar Rollen en beheerders.
- Selecteer De rol Globale lezer of Beveiligingslezer en klik op Toewijzingen toevoegen.
- Klik op Geen lid geselecteerd en zoek de naam van uw Managed Identity-account, beginnend met de naam van uw Automation-account , zoals 'ESI-Collector'. Selecteer deze en klik op Selecteren.
- Klik op Volgende en valideer de toewijzing door op Toewijzen te klikken.
ExtraHop Detections Data Connector
Ondersteund door:ExtraHop-ondersteuning
Met de ExtraHop Detections Data Connector kunt u detectiegegevens importeren uit ExtraHop RevealX naar Microsoft Sentinel via webhookpayloads. Gegevens worden opgenomen met behulp van de Azure Monitor Log Ingestion-API via een regel voor gegevensverzameling (DCR).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ExtraHop_Detections_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID, een eindpunt voor gegevensverzameling, een regel voor gegevensverzameling te maken en de vereiste rollen toe te wijzen.
- Microsoft Entra-app-registratie: een Microsoft Entra ID-app-registratie (service-principal) met een clientgeheim is vereist. De object-id van de app moet worden opgegeven, zodat de implementatie deze de benodigde rol kan toewijzen om logboeken te publiceren via de Logboekopname-API.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- ExtraHop RevealX-machtigingen: het volgende is vereist voor uw ExtraHop RevealX-systeem:
- Op uw RevealX-systeem moet firmwareversie 9.9.2 of hoger worden uitgevoerd.
- Uw RevealX-systeem moet zijn verbonden met ExtraHop Cloud Services.
- Uw gebruikersaccount moet bevoegdheden voor systeembeheer hebben voor RevealX 360 of Volledig schrijven op RevealX Enterprise.
Installatie-instructies:
OPMERKING: deze connector gebruikt Azure Functions om nettoladingen van ExtraHop-webhook te ontvangen en op te nemen in Microsoft Sentinel met behulp van de Azure Monitor Log Ingestion-API (OPNAME op basis van DCR). Hiermee vervangt u de verouderde LOG Analytics HTTP-gegevensverzamelaar-API. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) SLA API-referenties veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u de blade Log Analytics/Microsoft Sentinel logboeken, klikt u op Functies en zoekt u naar de alias ExtraHopDetections en laad de functiecode of klik hier. Het duurt meestal 10-15 minuten om de functie te activeren na installatie/update van de oplossing.
Configuratie:
STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing (bijvoorbeeld
ExtraHopSentinelConnector). - Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van ExtraHop Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 2: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van ExtraHop Data Connector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van ExtraHop Data Connector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 3: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectID die nodig is voor de roltoewijzing van uw ARM-sjabloon.
STAP 4: ExtraHop-gegevensconnector implementeren
BELANGRIJK: Voordat u de ExtraHop-gegevensconnector implementeert, moet u de Microsoft Entra ID details van app-registratie (client-id, clientgeheim, tenant-id en object-id) direct beschikbaar hebben.
Implementeer de ExtraHop Detections Data Connector:
Gebruik deze methode voor geautomatiseerde implementatie van de ExtraHop Detections Data-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de onderstaande gegevens in:
a. FunctionName : voer de naam van de functie-app in (gebruikt om alle gerelateerde resources een naam te geven). Moet 1-11 tekens bevatten. Standaard:
ExtraHopb. Locatie : de locatie waarop de regels voor gegevensverzameling en eindpunten voor gegevensverzameling moeten worden geïmplementeerd
c. WorkspaceName - Voer Microsoft Sentinel Werkruimtenaam van Log Analytics-werkruimte in
d. AzureClientId: voer Azure client-id in die u tijdens de registratie van de app hebt gemaakt
e. AzureClientSecret : voer Azure clientgeheim in dat u hebt gemaakt tijdens het maken van het clientgeheim
f. AzureEntraObjectID - Object-id van uw Microsoft Entra-app invoeren
G. TenantId: voer de tenant-id van uw Microsoft Entra ID in
H. DetectionsTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van ExtraHop Detections-logboeken. De standaardwaarde is 'ExtraHop_Detections'
i. LogLevel : selecteer logboekniveau of ernstwaarde voor logboeken in Foutopsporing, Info, Fout, Waarschuwing. Standaard is dit ingesteld op Info
J. AppInsightsWorkspaceResourceID - Migreer klassieke Application Insights naar Log Analytic Workspace die voor 29 februari 2024 wordt buiten gebruik gesteld. Gebruik de blade Log Analytics->-Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
STAP 5: post-implementatie
Na een geslaagde implementatie configureert u de webhookverbinding van ExtraHop RevealX naar Microsoft Sentinel.
1) Het eindpunt van de functie-app ophalen
- Ga naar de overzichtspagina Azure functie en klik op het tabblad Functies.
- Klik op de functie Met de naam ExtraHopHttpStarter.
- Ga naar Functie-URL ophalen en kopieer de functie-URL die beschikbaar is onder standaard (functiesleutel).
- Vervang {functionname} door ExtraHopDetectionsOrchestrator in de gekopieerde functie-URL.
2) Configureer een verbinding met Microsoft Sentinel en geef webhook nettoladingcriteria op vanuit RevealX
Configureer vanuit uw ExtraHop-systeem de Microsoft Sentinel-integratie om een verbinding tot stand te brengen tussen Microsoft Sentinel en ExtraHop RevealX en om regels voor detectiemeldingen te maken waarmee webhookgegevens naar Microsoft Sentinel worden verzonden. Raadpleeg Voor gedetailleerde instructies ExtraHop RevealX integreren met Microsoft Sentinel SIEM.
Nadat meldingsregels zijn geconfigureerd en Microsoft Sentinel webhookgegevens ontvangt, wordt de functie-app geactiveerd en kunt u ExtraHop-detecties bekijken vanuit de aangepaste tabel van de Log Analytics-werkruimte. Gebruik de functie ExtraHopDetections parser voor een genormaliseerde weergave van de gegevens.
F5 BIG-IP
Ondersteund door:F5 Networks
Met de F5-firewallconnector kunt u eenvoudig uw F5-logboeken verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
F5Telemetry_LTM_CL |
Nee | Nee |
F5Telemetry_system_CL |
Ja | Ja |
F5Telemetry_ASM_CL |
Nee | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
F5 BIGIP configureren en verbinden
Als u uw F5 BIGIP wilt verbinden, moet u een JSON-declaratie posten naar het API-eindpunt van het systeem. Zie De F5 BGIP integreren met Microsoft Sentinel voor instructies hierover.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Feedly IoC
Ondersteund door:Feedly Inc
De Feedly IoC-gegevensconnector biedt de mogelijkheid om Indicators of Compromise (IOC's) van feedly-API op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
feedly_indicators_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Toegang tot feedly-API: toegang tot de Feedly-API is vereist. U hebt een Feedly-API-token nodig met toegang tot de IoC-streams die u wilt opnemen. Uw API-token genereren op https://feedly.com/i/team/api
Installatie-instructies:
Verbinding maken met Feedly om te beginnen met het verzamelen van IOC's in Microsoft Sentinel
- Ga naar https://feedly.com/i/team/api en genereer een nieuw API-token voor de connector.
- Geef in Sentinel op de connectorpagina uw Feedly-API-sleutel en Stream-id's op. Klik vervolgens op 'Verbinding maken'.
- Feedly-API-sleutel: (Voer uw Feedly-API-token in)
- Feedly-Stream-id's: (streamId1,streamId2,streamId3)
- Verbinding in-/uitschakelen
Flare Push-connector
Ondersteund door:Flare
De Flare-connector biedt de mogelijkheid om bedreigingsinformatie en blootstellingsgegevens van Flare op te nemen in Microsoft Sentinel. Flare identificeert de digitale assets van uw bedrijf die openbaar beschikbaar zijn gemaakt vanwege menselijke fouten of schadelijke aanvallen, waaronder gelekte referenties, blootgestelde cloud-buckets, darkweb-vermeldingen en meer.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
FireworkV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR).
- Flare: machtiging voor het configureren van Microsoft Sentinel-integratie in Flare.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Met deze connector kan Flare gegevens over bedreigingsblootstelling verzenden naar Microsoft Sentinel. Wanneer het doorsturen van gegevens is ingeschakeld in Flare, worden onbewerkte gebeurtenisgegevens veilig verzonden naar de Microsoft Sentinel Ingestion-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, maken Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Flare configureren om logboeken naar Microsoft Sentinel te verzenden
Gebruik de volgende parameters om Flare te configureren om logboeken naar uw werkruimte te verzenden.
- Entra toepassings-id (client):< variabele waarde opgegeven tijdens de installatie>
- Entra Directory-id< (tenant): variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- URL voor logboekopname: <variabele waarde opgegeven tijdens de installatie>
3. Waarschuwingskanaal configureren in Flare
Als organisatiebeheerder kunt u een waarschuwingskanaal in Flare configureren om gegevens naar Sentinel te verzenden.
- Verifiëren bij flare
- Open de pagina waarschuwingen om een nieuw waarschuwingskanaal te maken.
- Selecteer 'Microsoft Sentinel' en kopieer de bovenstaande velden in het formulier.
Raadpleeg de flare-documentatie voor meer informatie.
Forcepoint DLP
Ondersteund door:Community
Met de Forcepoint DLP-connector (Preventie van gegevensverlies) kunt u DLP-incidentgegevens automatisch in realtime exporteren van Forcepoint DLP naar Microsoft Sentinel. Dit verrijkt het inzicht in gebruikersactiviteiten en incidenten met gegevensverlies, maakt verdere correlatie mogelijk met gegevens uit Azure workloads en andere feeds en verbetert de bewakingscapaciteit met Werkmappen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ForcepointDLPEvents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Volg de stapsgewijze instructies in de DLP-documentatie voor Forcepoint voor Microsoft Sentinel om deze connector te configureren.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Forescout
Ondersteund door:Microsoft Corporation
De Forescout-gegevensconnector biedt de mogelijkheid om Forescout-gebeurtenissen op te nemen in Microsoft Sentinel. Raadpleeg de Documentatie van Forescout voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ForescoutEvent |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht ForescoutEvent dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
OPMERKING: Deze gegevensconnector is ontwikkeld met de Versie van de Forescout Syslog-invoegtoepassing: v3.6
1. De agent installeren en onboarden voor Linux of Windows
Installeer de agent op de server waar de Forescout-logboeken worden doorgestuurd.
Logboeken van Forescout Server die zijn geïmplementeerd op Linux- of Windows-servers, worden verzameld door Linux- of Windows-agents.
Kies waar u de Linux-agent wilt installeren:
Agent installeren op Azure Linux virtuele machine
Selecteer de computer waarop u de agent wilt installeren en klik vervolgens op Verbinding maken.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Agent installeren op een niet-Azure Linux machine
Download de agent op de relevante computer en volg de instructies.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Kies waar u de Windows-agent wilt installeren:
Agent installeren op Azure virtuele Windows-machine
Selecteer de computer waarop u de agent wilt installeren en klik vervolgens op Verbinding maken.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Agent installeren op een niet-Azure Windows-computer
Download de agent op de relevante computer en volg de instructies.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
2. De logboeken configureren die moeten worden verzameld
Configureer de faciliteiten die u wilt verzamelen en hun ernst.
- Selecteer onder Geavanceerde instellingen voor werkruimte de optie Gegevens en vervolgens Syslog.
- Selecteer De onderstaande configuratie toepassen op mijn machines en selecteer de faciliteiten en ernst.
- Klik op Opslaan.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
3. Forescout-gebeurtenisdoorsturen configureren
Volg de onderstaande configuratiestappen om forescout-logboeken op te halen bij Microsoft Sentinel.
- Selecteer een apparaat dat u wilt configureren.
- Volg deze instructies om waarschuwingen van het Forescout-platform door te sturen naar een syslog-server.
- Configureer de instellingen op het tabblad Syslog-triggers.
Forescout Host Property Monitor
Ondersteund door:Microsoft Corporation
Met de Forescout Host Property Monitor-connector kunt u hosteigenschappen van het Forescout-platform verbinden met Microsoft Sentinel, aangepaste incidenten bekijken, maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ForescoutHostProperties_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Vereiste forescout-invoegtoepassing: zorg ervoor dat de invoegtoepassing Forescout Microsoft Sentinel wordt uitgevoerd op het Forescout-platform
Installatie-instructies:
Instructies voor het configureren van de Forescout Microsoft Sentinel-invoegtoepassing zijn te vinden op de Forescout-documentatieportal (https://docs.forescout.com/bundle/sentinel-1-0-h)
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Fortinet FortiNDR Cloud
Ondersteund door:Fortinet
De Fortinet FortiNDR Cloud-gegevensconnector biedt de mogelijkheid om Fortinet FortiNDR Cloud-gegevens op te nemen in Microsoft Sentinel met behulp van de FortiNDR Cloud-API
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
FncEventsSuricata_CL |
Nee | Nee |
FncEventsObservation_CL |
Nee | Nee |
FncEventsDetections_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- MetaStream-referenties: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code zijn vereist om gebeurtenisgegevens op te halen.
- API-referenties: FortiNDR Cloud API-token, FortiNDR Cloud Account UUID zijn vereist om detectiegegevens op te halen.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de FortiNDR Cloud-API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: deze connector gebruikt een parser op basis van een Kusto-functie om velden te normaliseren. Volg deze stappen om de Kusto-functiealias Fortinet_FortiNDR_Cloud te maken.
STAP 1: configuratiestappen voor de fortinet FortiNDR-cloudlogboekenverzameling
De provider moet gedetailleerde stappen opgeven of koppelen voor het configureren van het API-eindpunt 'PROVIDER NAME APPLICATION NAME', zodat de Azure-functie deze kan verifiëren, de autorisatiesleutel of het token kan ophalen en de logboeken van het apparaat kan ophalen in Microsoft Sentinel.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Fortinet FortiNDR Cloud-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), evenals de referenties van de FortiNDR Cloud-API (beschikbaar in FortiNDR Cloud-accountbeheer), direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Fortinet FortiNDR Cloud-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie(Zorg ervoor dat u dezelfde locatie gebruikt als uw resourcegroep en dat de locatie flexverbruik ondersteunt.
Voer de velden Werkruimte-id, Werkruimtesleutel, AwsAccessKeyId, AwsSecretAccessKey en/of Overige vereiste velden in.
Klik op Maken om te implementeren.
Fortra Agari Data Connector (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de Fortra Agari-gegevensconnector kunt u logboeken van Fortra Agari-API's opnemen in Microsoft Sentinel. Deze connector kan worden geïntegreerd met producten van Agari Brand Protection (BP), Phishing Defense (APD) en Phishing Response (APR). Het ondersteunt op DCR gebaseerde opnametijdtransformaties voor efficiënte uitvoering van query's. Raadpleeg de documentatie van de Agari-API voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AgariBPAlertsLog_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Configuratiestappen voor de Agari-API
Volg de onderstaande instructies om uw Agari API-referenties te verkrijgen.
Haal de API-URL op Meld u aan bij uw Agari-console en navigeer naar de sectie API. De standaard-API-URL is https://api.agari.com
Clientreferenties ophalen Haal uw client-id en clientgeheim op uit de sectie API-referenties in uw Agari-account. Houd er rekening mee dat voor verschillende Agari-producten (Brand Protection, Phishing Defense, Phishing Response) mogelijk afzonderlijke API-referenties zijn vereist.
Selecteer Gegevensstromen Kies welke Agari-gegevensstromen u wilt verzamelen. U kunt een of meer streams selecteren op basis van uw abonnement en vereisten.
- BASIS-API-URL: (https://api.agari.com)
- Client-id: (uw client-id)
- Clientgeheim: (uw clientgeheim)
- Verbinding in-/uitschakelen
Garrison ULTRA Remote Logs (met behulp van Azure Functions)
Ondersteund door:Garrison
Met de Garrison ULTRA Remote Logs-connector kunt u Garrison ULTRA Remote Logs opnemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Garrison ULTRA: Als u deze gegevensconnector wilt gebruiken, moet u een actieve Garrison ULTRA-licentie hebben.
Installatie-instructies:
Implementatie - ARM-sjabloon (Azure Resource Manager)
In deze stappen wordt de geautomatiseerde implementatie van de Garrison ULTRA Remote Logs-gegevensconnector beschreven met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Geef de vereiste gegevens op, zoals resourcegroep, Microsoft Sentinel werkruimte en opnameconfiguraties
OPMERKING: Het wordt aanbevolen om een nieuwe resourcegroep te maken voor de implementatie van deze resources. 3. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 4. Klik op Aanschaffen om te implementeren.
GCP Cloud Run (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De GCP Cloud Run-gegevensconnector biedt de mogelijkheid om Cloud Run-aanvraaglogboeken op te nemen in Microsoft Sentinel met behulp van Pub/Sub. Raadpleeg het overzicht van clouduitvoeringen voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPCloudRun |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP Cloud Run verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- Logboeken voor clouduitvoering inschakelen In de Google Cloud-console schakelt u cloudlogboekregistratie in als dit niet eerder is ingeschakeld en slaat u de wijzigingen op. Implementeer of werk uw Cloud Run-services bij met logboekregistratie ingeschakeld.
Referentiekoppeling: koppeling naar documentatie
- Nieuwe verzamelaars verbinden Als u GCP Cloud Run Request Logs wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
GCP Cloud SQL (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De GCP Cloud SQL-gegevensconnector biedt de mogelijkheid om auditlogboeken op te nemen in Microsoft Sentinel met behulp van de GCP Cloud SQL-API. Raadpleeg de documentatie voor sql-auditlogboeken in de GCP-cloud voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPCloudSQL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
GCP Cloud SQL verbinden met Microsoft Sentinel
- Tenant-id: een unieke id die wordt gebruikt als invoer in de terraform-configuratie in een GCP-omgeving.<>
Schakel in de Google Cloud-console Cloud SQL-API in, indien niet eerder ingeschakeld, en sla de wijzigingen op.
Nieuwe verzamelaars verbinden Als u GCP Cloud SQL-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
GCP Pub/Sub Audit Logs
Ondersteund door:Microsoft Corporation
Met de GCP-auditlogboeken (Google Cloud Platform), opgenomen uit de connector van Microsoft Sentinel, kunt u drie typen auditlogboeken vastleggen: activiteitenlogboeken voor beheerders, logboeken voor gegevenstoegang en toegang tot transparantielogboeken. In google-cloudcontrolelogboeken wordt een spoor vastgelegd dat gebruikers kunnen gebruiken om de toegang te bewaken en mogelijke bedreigingen in GCP-resources (Google Cloud Platform) te detecteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPAuditLogs |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- Nieuwe verzamelaars verbinden Als u GCP-auditlogboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
GCP Pub/Sub Load Balancer-logboeken (via het connectorframework zonder code).
Ondersteund door:Microsoft Corporation
Google Cloud Platform (GCP) Load Balancer logboeken bieden gedetailleerde inzichten in netwerkverkeer, waarbij zowel binnenkomende als uitgaande activiteiten worden vastgelegd. Deze logboeken worden gebruikt voor het bewaken van toegangspatronen en het identificeren van mogelijke beveiligingsrisico's in GCP-resources. Daarnaast bevatten deze logboeken ook WAF-logboeken (GCP Web Application Firewall), waardoor risico's effectiever kunnen worden gedetecteerd en beperkt.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPLoadBalancerLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- Load Balancer logboeken inschakelen Navigeer in uw GCP-account naar de sectie Load Balancer. Hier kunt u een koppeling maken naar [Back-endservice] -> [Bewerken], zodra u zich in de [Back-endservice] in de sectie [Logboekregistratie] bevindt, schakelt u het selectievakje van [Logboeken inschakelen] in. Zodra u de regel hebt geopend, zet u de wisselknop onder de sectie Logboeken op Aan en slaat u de wijzigingen op.
Voor meer informatie: Koppeling naar documentatie
- Nieuwe verzamelaars verbinden Als u GCP Load Balancer-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
GCP Pub/Sub VPC-stroomlogboeken (via het connectorframework zonder code)
Ondersteund door:Microsoft Corporation
Met de VPC-stroomlogboeken van Google Cloud Platform (GCP) kunt u netwerkverkeersactiviteiten vastleggen op VPC-niveau, zodat u toegangspatronen kunt bewaken, netwerkprestaties kunt analyseren en potentiële bedreigingen in GCP-resources kunt detecteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPVPCFlow |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- VPC-stroomlogboeken inschakelen Navigeer in uw GCP-account naar de sectie VPC-netwerk. Selecteer het subnet dat u wilt bewaken en schakel Stroomlogboeken in in de sectie Logboekregistratie.
Voor meer informatie: Google Cloud-documentatie
- Nieuwe verzamelaars verbinden Als u GCP VPC-stroomlogboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
Gigamon AMX-connector
Ondersteund door:Gigamon
De Gigamon-connector biedt de mogelijkheid om onbewerkte gebeurtenisgegevens van Gigamon te lezen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GigamonV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Deze connector leest gegevens uit de tabellen die Gigamon CCF gebruikt in een Microsoft Analytics-werkruimte. Als de optie voor het doorsturen van gegevens is ingeschakeld in Gigamon CCF, worden onbewerkte gebeurtenisgegevens verzonden naar de Microsoft Sentinel Opname-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Push uw logboeken naar de werkruimte
Gebruik de volgende parameters om de computer te configureren om de logboeken naar de werkruimte te verzenden.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Naam van activiteit Stream: <variabelewaarde opgegeven tijdens de installatie>
- Naam van bedreiging Stream: <variabele waarde opgegeven tijdens de installatie>
GitHub (met webhooks)
Ondersteund door:Microsoft Corporation
De GitHub webhook-gegevensconnector biedt de mogelijkheid om gebeurtenissen met GitHub-abonnementen op te nemen in Microsoft Sentinel met behulp van GitHub-webhookgebeurtenissen. De connector biedt de mogelijkheid om gebeurtenissen in Microsoft Sentinel te plaatsen, wat helpt bij het onderzoeken van mogelijke beveiligingsrisico's, het analyseren van het gebruik van samenwerking door uw team, het diagnosticeren van configuratieproblemen en meer.
Opmerking: Als u github-auditlogboeken wilt opnemen, raadpleegt u GitHub Enterprise Audit Log Connector in de galerie 'Gegevensconnectors'.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
githubscanaudit_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
Installatie-instructies:
OPMERKING: Deze connector is gebouwd op basis van http-trigger Azure Function. En het biedt een eindpunt waarmee github wordt verbonden via de webhook-mogelijkheid en plaatst de geabonneerde gebeurtenissen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Github Webhook-connector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de GitHub-gegevensconnector met behulp van een ARM-tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows- en Linux-apps in dezelfde regio niet combineren en implementeren. 3. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de GitHub-webhookgegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): WorkspaceID WorkspaceKey logAnalyticsUri (optioneel) - Gebruik logAnalyticsUri om het api-eindpunt voor log analytics voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us. - Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Stappen na implementatie
STAP 1: de URL van de Azure functie ophalen
- Ga naar Azure pagina Overzicht van de functie en klik op 'Functies' in de linkerblade.
- Klik op de functie met de naam GithubwebhookConnector.
- Ga naar GetFunctionurl en kopieer de functie-URL.
STAP 2: Webhook configureren voor Github-organisatie
- Ga naar GitHub , open uw account en klik op Uw organisaties.
- Klik op Instellingen.
- Klik op 'Webhooks' en voer de URL van de functie-app in die is gekopieerd uit boven STAP 1 onder het tekstvak payload-URL.
- Kies inhoudstype als 'application/json'.
- Abonneer u op gebeurtenissen en klik op 'Webhook toevoegen'
Nu zijn we klaar met de configuratie van github Webhook. Zodra de github-gebeurtenissen zijn geactiveerd en na de vertraging van 20 tot 30 minuten (omdat er een deal voor LogAnalytics is om de resources voor het eerst op te zetten), moet u alle transactionele gebeurtenissen van github in loganalytics-werkruimtetabel met de naam 'githubscanaudit_CL' kunnen zien.
Klik hier voor meer informatie
GitHub Enterprise Audit Log (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De GitHub-connector voor auditlogboeken biedt de mogelijkheid om GitHub-logboeken op te nemen in Microsoft Sentinel. Door GitHub-auditlogboeken te verbinden met Microsoft Sentinel, kunt u deze gegevens bekijken in werkmappen, deze gebruiken om aangepaste waarschuwingen te maken en uw onderzoeksproces te verbeteren.
Opmerking: Als u van plan bent om gebeurtenissen met GitHub-abonnementen op te nemen in Microsoft Sentinel, raadpleegt u GitHub Connector (met webhooks) in de galerie Gegevensconnectors.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GitHubAuditLogsV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
-
Persoonlijk toegangstoken gitHub-API: als u polling wilt inschakelen voor het auditlogboek van het bedrijf, moet u ervoor zorgen dat de geverifieerde gebruiker een ondernemingsbeheerder is en een persoonlijk gitHub-toegangstoken (klassiek) met het
read:audit_logbereik heeft. - GitHub Enterprise-type: deze connector werkt alleen met GitHub Enterprise Cloud; het biedt geen ondersteuning voor GitHub Enterprise Server.
Installatie-instructies:
Het auditlogboek op GitHub Enterprise-niveau verbinden met Microsoft Sentinel
Schakel GitHub-auditlogboeken in. Volg deze handleiding om uw persoonlijke toegangstoken te maken of te vinden.
- Raster van gegevensconnectors (configureren in de portal)
Google ApigeeX (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Google ApigeeX-gegevensconnector biedt de mogelijkheid om auditlogboeken op te nemen in Microsoft Sentinel met behulp van de Google Apigee-API. Raadpleeg google apigee API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPApigee |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**Google ApigeeX verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
ApigeeX-logboeken inschakelen In de Google Cloud-console schakelt u apigee-API in, indien niet eerder ingeschakeld, en slaat u de wijzigingen op.
Nieuwe verzamelaars verbinden Als u ApigeeX-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Cloud Platform CDN (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Google Cloud Platform CDN-gegevensconnector biedt de mogelijkheid om cloud-CDN-auditlogboeken en cloud-CDN-verkeer op te nemen in Microsoft Sentinel met behulp van de Compute Engine-API. Raadpleeg het document Productoverzicht voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPCDN |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP CDN verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- CDN-logboeken inschakelen Schakel in de Google Cloud-console logboekregistratie in als deze niet eerder is ingeschakeld en sla de wijzigingen op. Navigeer naar de sectie Cloud CDN en klik op Origin toevoegen om back-ends te maken volgens de onderstaande koppeling.
Referentiekoppeling: koppeling naar documentatie
- Nieuwe verzamelaars verbinden Als u GCP Cloud CDN-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Cloud Platform Cloud IDS (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Google Cloud Platform IDS-gegevensconnector biedt de mogelijkheid om cloud-IDS-verkeerslogboeken, bedreigingslogboeken en auditlogboeken op te nemen in Microsoft Sentinel met behulp van de Google Cloud IDS-API. Raadpleeg cloud-IDS API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPIDS |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP Cloud IDS verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- IDS-logboeken inschakelen In de Google Cloud-console schakelt u cloud-IDS-API in, indien niet eerder ingeschakeld. Maak een IDS-eindpunt en sla de wijzigingen op.
Voor meer informatie over het maken en configureren van een IDS-eindpunt: Koppeling naar documentatie
- Nieuwe verzamelaars verbinden Als u GCP IDS-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Cloud Platform Cloud Monitoring (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Google Cloud Platform Cloud Monitoring-gegevensconnector neemt bewakingslogboeken van Google Cloud op in Microsoft Sentinel met behulp van de Google Cloud Monitoring-API. Raadpleeg de documentatie voor cloudbewakings-API voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPMonitoring |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Google Cloud Platform Cloud Monitoring verbinden met Microsoft Sentinel
GCP-bewakingsintegratie instellen Om logboeken op te halen van GCP Cloud Monitoring naar Sentinel Project-id van Google Cloud is vereist.
Kies het metrische type Als u logboeken van Google Cloud Monitoring wilt verzamelen, geeft u het vereiste type metrische gegevens op.
Raadpleeg Google Cloud Metrics voor meer informatie.
OAuth-referenties voor het ophalen van de Oauth-client-id en het clientgeheim raadpleegt u deze documentatie.
Maak verbinding met Sentinel Klik op Verbinden om bewakingslogboeken van Google Cloud op te halen in Microsoft Sentinel.
- GCP-project-id:
- Metrische type:
- Raster van gegevensconnectors (configureren in de portal)
Google Cloud Platform Compute Engine (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Gegevensconnector van Google Cloud Platform Compute Engine biedt de mogelijkheid om auditlogboeken van compute-engine op te nemen in Microsoft Sentinel met behulp van de Google Cloud Compute Engine-API. Raadpleeg de api-documentatie voor Cloud Compute Engine voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPComputeEngine |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP Compute Engine verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
Compute Engine-logboeken inschakelen In de Google Cloud Console schakelt u de Compute Engine-API in, indien niet eerder ingeschakeld, en slaat u de wijzigingen op.
Nieuwe collectors verbinden Als u Compute Engine-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Cloud Platform DNS (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Google Cloud Platform DNS-gegevensconnector biedt de mogelijkheid om cloud-DNS-querylogboeken en cloud-DNS-auditlogboeken op te nemen in Microsoft Sentinel met behulp van de Google Cloud DNS-API. Raadpleeg cloud-DNS-API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPDNS |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP DNS verbinden met Microsoft Sentinel **
OPMERKING: Als zowel Azure Functie als CCF-connector tegelijkertijd worden uitgevoerd, worden dubbele gegevens ingevuld in de tabellen.
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- DNS-logboeken inschakelen Navigeer in de Google Cloud-console naar de sectie Cloud-DNS. Schakel cloudlogboekregistratie in als deze niet eerder is ingeschakeld en sla de wijzigingen op. Hier kunt u de bestaande zones beheren of een nieuwe zone maken en beleidsregels maken voor de zone die u wilt bewaken.
Voor meer informatie: Koppeling naar documentatie
- Nieuwe collectors verbinden Als u GCP DNS-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Cloud Platform IAM (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De IAM-gegevensconnector van Google Cloud Platform biedt de mogelijkheid om de auditlogboeken met betrekking tot IAM-activiteiten (Identity and Access Management) in Google Cloud op te nemen in Microsoft Sentinel met behulp van de Google IAM-API. Raadpleeg GCP IAM API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPIAM |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
GCP IAM verbinden met Microsoft Sentinel
OPMERKING: Als zowel Azure Functie als CCF-connector parallel worden uitgevoerd, worden dubbele gegevens ingevuld in de tabellen.
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- Als u IAM-logboeken wilt inschakelen in uw GCP-account, gaat u naar de sectie IAM. Van daaruit kunt u een nieuwe gebruiker maken of de rol van een bestaande gebruiker wijzigen die u wilt bewaken. Sla uw wijzigingen op.
Voor meer informatie: Koppeling naar documentatie
- Nieuwe verzamelaars verbinden Als u GCPIAM-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
Google Cloud Platform NAT (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Google Cloud Platform NAT-gegevensconnector biedt de mogelijkheid om Cloud NAT-auditlogboeken en Cloud NAT Traffic-logboeken op te nemen in Microsoft Sentinel met behulp van de Compute Engine-API. Raadpleeg het document Productoverzicht voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPNATAudit |
Ja | Ja |
GCPNAT |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP NAT verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- NAT-logboeken inschakelen Schakel in de Google Cloud-console logboekregistratie in als dit niet eerder is ingeschakeld en sla de wijzigingen op. Navigeer naar de sectie Cloud NAT en klik op Origin toevoegen om back-ends te maken volgens de onderstaande koppeling.
Referentiekoppeling: koppeling naar documentatie
- Nieuwe verzamelaars verbinden Als u GCP Cloud NAT-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Cloud Platform Resource Manager (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Gegevensconnector van Google Cloud Platform Resource Manager biedt de mogelijkheid om Resource Manager Beheer activiteiten en data access audit-aanmeldingen op te nemen in Microsoft Sentinel met behulp van de Cloud Resource Manager-API. Raadpleeg het document Productoverzicht voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GCPResourceManager |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**GCP-Resource Manager verbinden met Microsoft Sentinel **
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
Resource Manager logboeken inschakelen In de Google Cloud-console schakelt u de API van Cloud Resource Manager in als deze niet eerder is ingeschakeld en slaat u de wijzigingen op. Zorg ervoor dat u IAM-machtigingen op organisatieniveau hebt voor uw account om alle logboeken in de resourcehiërarchie te zien. U kunt de documentkoppelingen voor verschillende IAM-machtigingen voor toegangsbeheer met IAM raadplegen op elk niveau dat in deze koppeling wordt vermeld
Nieuwe verzamelaars verbinden Als u GCP-Resource Manager-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, geeft u de vereiste informatie op in het pop-upvenster en klikt u op Verbinding maken.
Google Kubernetes Engine (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de GKE-logboeken (Google Kubernetes Engine) kunt u clusteractiviteit, gedrag van workloads en beveiligingsevenementen vastleggen, zodat u Kubernetes-workloads kunt bewaken, prestaties kunt analyseren en potentiële bedreigingen in GKE-clusters kunt detecteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GKEAudit |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
Logboekregistratie van Kubernetes-engine inschakelen Navigeer in uw GCP-account naar de sectie Kubernetes Engine. Schakel Cloudlogboekregistratie in voor uw clusters. Zorg ervoor dat de specifieke logboeken die u wilt opnemen, zoals API-server, scheduler, controllerbeheer, HPA-beslissing en toepassingslogboeken, zijn ingeschakeld voor effectieve bewaking en beveiligingsanalyse.
Nieuwe verzamelaars verbinden Als u GKE-logboeken wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
Google Security Command Center
Ondersteund door:Microsoft Corporation
Het Google Cloud Platform (GCP) Security Command Center is een uitgebreid beveiligings- en risicobeheerplatform voor Google Cloud, dat wordt opgenomen vanuit de connector van Sentinel. Het biedt functies zoals inventaris en detectie van activa, detectie van beveiligingsproblemen en bedreigingen en risicobeperking en herstel om u inzicht te geven in de kwetsbaarheid voor beveiligings- en gegevensaanvallen van uw organisatie. Met deze integratie kunt u taken met betrekking tot bevindingen en assets effectiever uitvoeren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GoogleCloudSCC |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
- Uw GCP-omgeving instellen U moet de volgende GCP-resources hebben gedefinieerd en geconfigureerd: onderwerp, abonnement voor het onderwerp, workloadidentiteitspool, id-provider voor workload en serviceaccount met machtigingen om het abonnement op te halen en te gebruiken. Terraform biedt API voor de IAM waarmee de resources worden gemaakt. Koppeling naar Terraform-scripts.
- Tenant-id: een unieke id die wordt gebruikt als invoer in de Terraform-configuratie in een GCP-omgeving.<>
- Nieuwe verzamelaars verbinden Als u GCP SCC wilt inschakelen voor Microsoft Sentinel, klikt u op de knop Nieuwe collector toevoegen, vult u de vereiste gegevens in het contextvenster in en klikt u op Verbinding maken.
Google Workspace-activiteiten (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De gegevensconnector voor Google Workspace-activiteiten biedt de mogelijkheid om activiteitsgebeurtenissen van de Google Workspace-API op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GoogleWorkspaceReports |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot de Google Workspace-API: toegang tot de Google Workspace-activiteiten-API via Oauth is vereist.
Installatie-instructies:
Verbinding maken met Google Workspace om te beginnen met het verzamelen van gebruikersactiviteitenlogboeken in Microsoft Sentinel
Configuratiestappen voor de Google Reports-API
- Meld u aan bij de Google-cloudconsole met uw werkruimte Beheer referenties https://console.cloud.google.com.
- Met behulp van de zoekoptie (beschikbaar in het midden bovenaan) zoeken naar API's & Services
- Schakel vanuit API's & Services ->API's met ingeschakelde & Services Beheer SDK-API in voor dit project.
- Ga naar API's & Services ->OAuth-toestemmingsscherm. Als dit nog niet is geconfigureerd, maakt u een OAuth-toestemmingsscherm met de volgende stappen:
- Geef app-naam en andere verplichte informatie op.
- Kies Extern als gebruikerstype voor de doelgroep.
- Ga naar API's & Services ->Referenties en maak de OAuth 2.0-client-id
- Klik bovenaan op Referenties maken en selecteer Oauth-client-id.
- Selecteer Webtoepassing in de vervolgkeuzelijst Toepassingstype.
- Geef een geschikte naam op voor de web-app en voeg de omleidings-URI in het onderstaande formulier toe als de geautoriseerde omleidings-URI's.
- Zodra u op Maken klikt, krijgt u de client-id en het clientgeheim. Kopieer deze waarden en gebruik ze in de onderstaande configuratiestappen.
- Ga naar Google Auth Platform ->Data Access: Add Beheer SDK API scope
Configureer stappen voor oauth-toegang voor de Google Reports-API. Geef vervolgens de vereiste informatie hieronder op en klik op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
GravityZone-gegevensconnector
Ondersteund door:Bitdefender SRL
Deze connector maakt integratie mogelijk tussen Bitdefender GravityZone en Microsoft Sentinel via de Event Push Service-API. Zodra de configuratie is uitgevoerd, worden alle GravityZone-gebeurtenistypen rechtstreeks naar uw Microsoft Sentinel werkruimte gestreamd, waar ze worden opgeslagen als logboeken in de GzSecurityEvents_CL tabel.
Belangrijke gebeurteniscategorieën zoals EDR, XDR, ransomwarebeperking, netwerksandboxing en Exchange-malwaregebeurtenissen kunnen automatisch worden gecorreleerd en incidenten genereren via de nrt GravityZone Incident Alerts-analyseregel .
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GzSecurityEvents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Azure-app registratie: Microsoft Entra App-registratie met de volgende details bewaarde directory-id (tenant), toepassings-id (client), beheerde service-principalobject-id (van de vermelding Bedrijfstoepassingen van de app), clientgeheim (gegenereerd onder Certificaten & geheimen).
- GravityZone Cloud-account: een GravityZone Cloud-account met een gegenereerde API-sleutel voor het Event Push Service-eindpunt.
- Lees onze handleiding: Volg dit stapsgewijze artikel om de integratie in te stellen. Klanten | Partners
Installatie-instructies:
- Klik hieronder op de knop Implementeren naar Azure en vul de vereiste parameters in.
De URL voor opname van logboeken verzamelen van het eindpunt voor
gz-sentinel-dcegegevensverzamelingDe onveranderbare id van
gz-sentinel-dcrde regel voor gegevensverzameling verzamelenGa naar uw GravityZone Cloud-account en navigeer naar Mijn account. Maak een API-sleutel met Event Push Service-machtigingen .
Configureer uw Event Push Service-instellingen met behulp van dit artikel. Klanten | Partners. Houd er rekening mee dat na de succesvolle implementatie van de Data Connector & geslaagde installatie van de Event Push-service van GravityZone, het systeem vrijwel realtime activiteitenlogboekgegevens ontvangt. Er kan een korte vertraging optreden tussen de gegevensoverdracht en het verschijnen ervan in de sectie Microsoft Sentinel logboeken.
GreyNoise Threat Intelligence
Ondersteund door:GreyNoise
Met deze gegevensconnector wordt een Azure Function-app geïnstalleerd om GreyNoise-indicatoren eenmaal per dag te downloaden en deze in te voegen in de tabel ThreatIntelIndicators in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelIndicators |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- GreyNoise API-sleutel: haal hier uw GreyNoise-API-sleutel op.
Installatie-instructies:
**U kunt GreyNoise Threat Intelligence verbinden met Microsoft Sentinel door de onderstaande stappen te volgen: **
Met de volgende stappen maakt u een Azure AAD-toepassing, haalt u een GreyNoise-API-sleutel op en slaat u de waarden op in een Azure functie-App Configuration.
1. Haal uw API-sleutel op van GreyNoise Visualizer.
Een API-sleutel genereren vanuit GreyNoise Visualizer https://docs.greynoise.io/docs/using-the-greynoise-api
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verwerf tenant-id en client-id. Haal ook de Log Analytics-werkruimte-id op die is gekoppeld aan uw Microsoft Sentinel-exemplaar (deze wordt hieronder weergegeven).
Volg de instructies hier om uw Azure AAD-app te maken en uw client-id en tenant-id op te slaan: /azure/sentinel/connect-threat-intelligence-upload-api#instructions OPMERKING: Wacht tot stap 5 om uw clientgeheim te genereren.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Volg de instructies hier om de rol Microsoft Sentinel inzender toe te voegen: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application
4. Geef de AAD-machtigingen op om MS Graph API toegang tot de API voor upload-indicators in te schakelen.
Volg deze sectie hier om de machtiging ThreatIndicators.ReadWrite.OwnedBy toe te voegen aan de AAD-app: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. Zorg ervoor dat u in uw AAD-app beheerderstoestemming verleent voor de machtigingen die u zojuist hebt toegevoegd. Ten slotte genereert u in de sectie Tokens en API's een clientgeheim en slaat u dit op. U hebt deze nodig in stap 6.
5. Implementeer de oplossing Bedreigingsinformatie (nieuw) (v3.0.14 of hoger), die de Api voor het uploaden van bedreigingsinformatie-indicatoren (preview) bevat
Zie Microsoft Sentinel Content Hub voor deze oplossing en installeer deze in het Microsoft Sentinel exemplaar. Houd er rekening mee dat u in deze stap geen configuratie hoeft uit te voeren.
6. De Azure-functie implementeren
Klik op de knop Implementeren naar Azure.
Vul de juiste waarden in voor elke parameter. Houd er rekening mee dat de enige geldige waarden voor de parameter GREYNOISE_CLASSIFICATIONS goedaardig, schadelijk en/of onbekend zijn, die door komma's moeten worden gescheiden.
7. Indicatoren verzenden naar Sentinel
De functie-app die in stap 6 is geïnstalleerd, voert eenmaal per dag een query uit op de GreyNoise GNQL-API en verzendt elke indicator die is gevonden in STIX 2.1-indeling naar de Microsoft Upload Threat Intelligence Indicators-API. Elke indicator verloopt na ongeveer 24 uur na het maken, tenzij deze wordt gevonden in de query van de volgende dag. In dit geval wordt de tijd van de TI-indicator geldig tot nog eens 24 uur verlengd, waardoor deze actief blijft in Microsoft Sentinel.
Klik hier voor meer informatie over de GreyNoise-API en de GreyNoise Query Language (GNQL).
Halcyon-connector
Ondersteund door:Halcyon
De Halcyon-connector biedt de mogelijkheid om gegevens van Halcyon naar Microsoft Sentinel te verzenden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
HalcyonEvents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra Machtigingen maken: machtigingen voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Roltoewijzingsmachtigingen: schrijfmachtigingen die vereist zijn om de rol Monitoring Metrics Publisher toe te wijzen aan de regel voor gegevensverzameling (DCR). Vereist doorgaans de rol Eigenaar of Beheerder voor gebruikerstoegang op het niveau van de resourcegroep.
Installatie-instructies:
1. ARM-resources maken en vereiste machtigingen inrichten
Deze connector leest gegevens uit de tabellen die Halcyon gebruikt in een Microsoft Analytics-werkruimte, als de gegevens worden doorgestuurd
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Uw integratie in het Halcyon-platform configureren
Gebruik de volgende parameters om uw integratie in het Halcyon-platform te configureren.
- Directory-id (tenant-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id (client-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratiegeheim (referentiegeheim) (DIT GEHEIM IS NIET ZICHTBAAR NA HET VERLATEN VAN DEZE PAGINA): <variabele waarde die wordt opgegeven tijdens de installatie>
- Eindpunt voor gegevensverzameling (URL):< variabele waarde opgegeven tijdens de installatie>
- Regel-id voor gegevensverzameling (regel-id):< variabele waarde opgegeven tijdens de installatie>
Holm Security Asset Data (met behulp van Azure Functions)
Ondersteund door:Holm Security
De connector biedt de mogelijkheid om gegevens van Holm Security Center te peilen naar Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
net_assets_CL |
Nee | Nee |
web_assets_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Holm beveiligings-API token: Holm beveiligings-API token is vereist. Token Holm beveiligings-API
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met een Holm Security Assets om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de Holm-beveiligings-API
Volg deze instructies om een API-verificatietoken te maken.
STAP 2: gebruik de onderstaande implementatieoptie om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Holm Security-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals het autorisatietoken Holm beveiligings-API, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
implementatie van Azure Resource Manager -sjabloon (ARM)
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Holm Security-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, API-gebruikersnaam, API-wachtwoord en/of andere vereiste velden in.
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
IIS-logboeken van Microsoft Exchange-servers
Ondersteund door:Community
[Optie 5] - Met Azure Monitor-agent kunt u alle IIS-logboeken streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u aangepaste waarschuwingen maken en het onderzoek verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
W3CIISLog |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft om gegevens van niet-Azure VM's te verzamelen, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 5 van de wiki.
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers de Azure Arc-agent implementeert Meer informatie
[Optie 5] IIS-logboeken van Exchange-servers
Iis-logboeken van Exchange-servers streamen
Regel voor gegevensverzameling inschakelen
IIS-logboeken worden alleen verzameld van Windows-agents .
Optie 1: arm-sjabloon (Azure Resource Manager) (voorkeursmethode)
Gebruik deze methode voor geautomatiseerde implementatie van de DCE en DCR.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
U kunt de voorgestelde naam van de DCE wijzigen.
Klik op Maken om te implementeren.
B. Regel voor gegevensverbinding implementeren
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
- Navigeer vanuit de Azure Portal naar Azure Eindpunt voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in en geef de DCE een naam.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. DCR maken, IIS-logboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in, selecteer Windows als platformtype en geef een naam aan de DCR. Selecteer de gemaakte DCE.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in 'Verzamelen en leveren' het gegevensbrontype IIS-logboeken toe (voer geen pad in als het pad van IIS-logboeken standaard is geconfigureerd). Klik op 'Gegevensbron toevoegen'
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Illumio Insights
Ondersteund door:Illumio
Met de Gegevensconnector illumio Insights kunt u logboeken van de Illumio-API opnemen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework. Het maakt gebruik van de Illumio-API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen beveiligingsgegevens in een aangepaste tabel worden geparseerd, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
IlumioInsights |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Configuratiestappen voor de Illumio Insights-API
Vereisten
- Registreren en aanmelden bij Illumio Console met geldige referenties
- Clientreferenties moeten worden opgeslagen in Microsoft Sentinel-account voor de tenant
Stap 1: het serviceaccount registreren
- Ga naar Illumio Console → Access → Service Accounts
- Een serviceaccount voor de tenant maken
- Zodra u een serviceaccount hebt gemaakt, ontvangt u de clientreferenties
- Kopieer de gebruikersnaam (API-sleutel) en de geheime stap 2: clientreferenties toevoegen aan Sentinel-account
- De API-sleutel en het geheim toevoegen aan Sentinel-account voor tenantverificatie
- Deze referenties worden gebruikt om aanroepen van de Illumio SaaS-API te verifiëren
Stap 3: API-gebruik De connector gebruikt deze referenties om de Illumio SaaS-API aan te roepen:
-
Eindpunt:
GET https://gw.console.illum.io/api/v1/resource-insights -
Vereiste headers:
-
x-illumio-tenant-id: Uw Illumio-tenant-id -
x-auth-key: De API-sleutel die is verkregen uit stap 1 -
x-auth-X-api-secret: De geheime sleutel die is verkregen uit stap 1
-
Verificatievalidatie Illumio valideert de aanvraag op basis van:
- Handtekening tegen openbare sleutels van Entra-id
- Doelgroep (aud) komt overeen met de app-id-URI van uw API
- Validatie van verlener
Vul de vereiste velden hieronder in met de referenties die zijn verkregen uit de Illumio-console:
- Api-sleutel voor Illumio Insights: (api_XXXXXX)
- API-geheim: (API-geheim)
- Illumio Tenant-id: ({illumioTenantId})
- Verbinding in-/uitschakelen
Samenvatting van Illumio Insights
Ondersteund door:Illumio
De gegevensconnector van Illumio Insights Summary biedt de mogelijkheid om Illumio-beveiligings-inzichten en bedreigingsanalyserapporten op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de Documentatie van de Illumio-API voor meer informatie. De connector biedt de mogelijkheid om dagelijkse en wekelijkse overzichtsrapporten van Illumio op te halen en deze te visualiseren in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
IllumioInsightsSummary_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Toegang tot Illumio-API: Toegang tot de Illumio-API is vereist voor de Samenvattings-API van Illumio Insights.
Installatie-instructies:
1. Configuratie
Configureer de connector Illumio Insights Summary.
[! OPMERKING] Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing.
- Api-sleutel voor Illumio Insights: (api_XXXXXX)
- API-geheim: (API-geheim)
- Illumio-tenant-id: ({illumioTenantId})
2. Verbinding maken
Schakel de connector Illumio Insights Summary in.
- Verbinding in-/uitschakelen
Illumio SaaS (met behulp van Azure Functions)
Ondersteund door:Illumio
Illumio-connector biedt de mogelijkheid om gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt de mogelijkheid om controleerbare en stroomgebeurtenissen uit de AWS S3-bucket op te nemen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Illumio_Auditable_Events_CL |
Ja | Ja |
Illumio_Flow_Events_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- SQS- en AWS S3-accountreferenties/-machtigingen: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL is vereist. Als u de s3-bucket van Illumio gebruikt, neemt u contact op met de ondersteuning van Illumio. Op uw verzoek geven ze u de naam van de AWS S3-bucket, DE AWS SQS-URL en AWS-referenties om er toegang toe te krijgen.
- Illumio-API-sleutel en -geheim: ILLUMIO_API_KEY is ILLUMIO_API_SECRET vereist voor een werkmap om verbinding te maken met SaaS PCE en API-antwoorden op te halen.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de AWS SQS/S3 om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla API-autorisatiesleutels of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Vereisten
- Zorg ervoor dat AWS SQS is geconfigureerd voor de s3-bucket waaruit stroom- en controleerbare gebeurtenislogboeken worden opgehaald. Als Illumio buckets biedt, neemt u contact op met illumio-ondersteuning voor sqs-URL, naam van s3-bucket en aws-referenties.
- AAD-toepassing registreren: voor DCR (gegevensverzamelingsregel) moet u Entra toepassing gebruiken om gegevens op te nemen in log analytics. 1. Volg de instructies hier (stap 1-5) om de AAD-tenant-id, de AAD-client-id en het AAD-clientgeheim op te halen.
- Zorg ervoor dat u een Log Analytics-werkruimte hebt gemaakt. Noteer de naam en de regio waar het is geïmplementeerd.
Implementatie
Kies een van de onderstaande opties. Gebruik de onderstaande ARM-sjabloon om Azure-resources te implementeren of de functie-app handmatig te implementeren.
1. arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van Azure resources met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Geef de vereiste details op, zoals Microsoft Sentinel Werkruimte, AWS-referenties, Azure AD Toepassingsgegevens en opnameconfiguraties
OPMERKING: Het wordt aanbevolen om een nieuwe resourcegroep te maken voor de implementatie van de functie-app en de bijbehorende resources. 3. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 4. Klik op Aanschaffen om te implementeren.
2. Aanvullende functie-apps implementeren om de schaal te verwerken
Gebruik deze methode voor geautomatiseerde implementatie van aanvullende functie-apps met behulp van een ARM-tempate.
Klik hieronder op de knop Implementeren naar Azure.
3. Handmatige implementatie van Azure Functions
Implementatie via Visual Studio Code.
Een functie-app implementeren
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
De functie-app configureren
Volg de koppeling> documentatie <invoegen om alle vereiste omgevingsvariabelen in te stellen en klik op Opslaan. Zorg ervoor dat u de functie-app opnieuw start zodra de instellingen zijn opgeslagen.
Imperva Cloud WAF (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Imperva Cloud WAF-gegevensconnector biedt de mogelijkheid om Web Application Firewall gebeurtenissen te integreren en op te nemen in Microsoft Sentinel via de REST API. Raadpleeg documentatie voor logboekintegratie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ImpervaWAFCloud_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI zijn vereist voor de API. Zie Proces voor logboekintegratie instellen voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties. Houd er rekening mee dat deze connector gebruikmaakt van cef-logboeken. Meer informatie over logboekindeling.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Imperva Cloud-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure Functions-app.
**OPMERKING:**Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht ImpervaWAFCloud die is geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: configuratiestappen voor de logboekintegratie
Volg de instructies om de referenties te verkrijgen.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure Functions
BELANGRIJK: Voordat u de werkruimtegegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Imperva Cloud WAF-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Imperva Cloud WAF-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure ontwikkeling van functies.
Download het Azure Functions App-bestand. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld ImpervaCloudXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Imperva Cloud WAF (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Imperva WAF Cloud-gegevensconnector biedt de mogelijkheid om logboeken op te nemen in Microsoft Sentinel met behulp van imperva-logboekintegratie via AWS S3 met SQS-meldingen. De connector parseert WAF-gebeurtenissen in CEF-indeling, waaronder toegangslogboeken en beveiligingswaarschuwingen voor detectie en onderzoek van bedreigingen. Raadpleeg Imperva WAF Cloud Log Integration voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ImpervaWAFCloud |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
**Imperva WAF Cloud verbinden met Microsoft Sentinel
**
OPMERKING: Deze connector haalt de Imperva Cloud WAF-logboeken op uit de AWS S3-bucket
Als u gegevens van Imperva wilt verzamelen, moet u de volgende resources configureren
AWS-rol ARN Voor het verzamelen van gegevens van Imperva hebt u AWS-rol ARN nodig.
AWS SQS-wachtrij-URL Voor het verzamelen van gegevens uit Imperva hebt u de WACHTRIJ-URL van AWS SQS nodig.
Raadpleeg de Handleiding voor het instellen van de connector voor gedetailleerde stappen voor het ophalen van de AWS-rol ARN, de SQS-wachtrij-URL en het configureren van Het doorsturen van Imperva-logboeken naar de Amazon S3-bucket.
- Raster van gegevensconnectors (configureren in de portal)
Infoblox Cloud Data Connector via AMA
Ondersteund door:Infoblox
Met de Infoblox Cloud Data Connector kunt u eenvoudig uw Infoblox-gegevens verbinden met Microsoft Sentinel. Door uw logboeken te verbinden met Microsoft Sentinel, kunt u profiteren van de verrijking & correlatie, waarschuwingen en bedreigingsinformatie voor elk logboek.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
BELANGRIJK: In deze Microsoft Sentinel gegevensconnector wordt ervan uitgegaan dat er al een Infoblox Data Connector-host is gemaakt en geconfigureerd in de Infoblox Cloud Services Portal (CSP). Omdat de Infoblox-gegevensconnector een functie van Threat Defense is, is toegang tot een geschikt Threat Defense-abonnement vereist. Zie deze snelstartgids voor meer informatie en licentievereisten.
1. Linux Syslog-agentconfiguratie
Installeer en configureer de Linux agent om uw Ceflog-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux machine selecteren of maken
Selecteer of maak een Linux machine die Microsoft Sentinel gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel deze machine zich in uw on-premises omgeving, Azure of andere clouds kan bevinden.
1.2 Installeer de CEF-collector op de Linux machine
Installeer de Microsoft Monitoring Agent op uw Linux machine en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version.
U moet verhoogde machtigingen (sudo) hebben op uw computer.
- Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:: <variabele waarde die tijdens de installatie is opgegeven>
2. Configureer Infoblox om Syslog-gegevens te verzenden naar de Infoblox Cloud Data Connector om door te sturen naar de Syslog-agent
Volg de onderstaande stappen om de Infoblox CDC te configureren om gegevens te verzenden naar Microsoft Sentinel via de Linux Syslog-agent.
- Navigeer naar Gegevensconnector beheren>.
- Klik op het tabblad Doelconfiguratie bovenaan.
- Klik op Syslog maken>.
- Naam: geef de nieuwe bestemming een duidelijke naam, zoals Microsoft-Sentinel-Destination.
- Beschrijving: geef het desgewenst een zinvolle beschrijving.
- Status: stel de status in op Ingeschakeld.
- Indeling: stel de notatie in op CEF.
- FQDN/IP: voer het IP-adres in van het Linux apparaat waarop de Linux-agent is geïnstalleerd.
- Poort: laat het poortnummer op 514 staan.
- Protocol: selecteer het gewenste protocol en ca-certificaat, indien van toepassing.
- Klik op Opslaan & Sluiten.
- Klik op het tabblad Verkeersstroomconfiguratie bovenaan.
- Klik op Maken.
- Naam: geef de nieuwe verkeersstroom een duidelijke naam, zoals Microsoft-Sentinel-Flow.
- Beschrijving: geef het desgewenst een zinvolle beschrijving.
- Status: stel de status in op Ingeschakeld.
- Vouw de sectie Service-exemplaar uit .
- Service-exemplaar: selecteer het gewenste service-exemplaar waarvoor de Data Connector-service is ingeschakeld.
- Vouw de sectie Bronconfiguratie uit .
- Bron: Selecteer BloxOne-cloudbron.
- Selecteer alle gewenste logboektypen die u wilt verzamelen. Momenteel worden ondersteunde logboektypen:
- Threat Defense-query-/antwoordlogboek
- Bedreigingsbeveiligingsfeeds trefferlogboek
- DDI-query-/antwoordlogboek
- DDI DHCP-leaselogboek
- Vouw de sectie Doelconfiguratie uit .
- Selecteer de bestemming die u zojuist hebt gemaakt.
- Klik op Opslaan & Sluiten.
- De configuratie enige tijd toestaan om te activeren.
3. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version
U moet verhoogde machtigingen (sudo) op uw computer hebben
- Voer de volgende opdracht uit om uw connectiviteit te valideren:: <variabele waarde die is opgegeven tijdens de installatie>
**4. Beveilig uw computer **
Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie
Infoblox-gegevensconnector via REST API
Ondersteund door:Infoblox
Met de Infoblox Data Connector kunt u uw Infoblox TIDE-gegevens en Dossiergegevens eenvoudig verbinden met Microsoft Sentinel. Door uw gegevens te verbinden met Microsoft Sentinel, kunt u profiteren van de verrijking & correlatie, waarschuwingen en bedreigingsinformatie voor elk logboek.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Failed_Range_To_Ingest_CL |
Nee | Nee |
Infoblox_Failed_Indicators_CL |
Nee | Nee |
dossier_whois_CL |
Nee | Nee |
dossier_whitelist_CL |
Nee | Nee |
dossier_tld_risk_CL |
Nee | Nee |
dossier_threat_actor_CL |
Nee | Nee |
dossier_rpz_feeds_records_CL |
Nee | Nee |
dossier_rpz_feeds_CL |
Nee | Nee |
dossier_nameserver_matches_CL |
Nee | Nee |
dossier_nameserver_CL |
Nee | Nee |
dossier_malware_analysis_v3_CL |
Nee | Nee |
dossier_inforank_CL |
Nee | Nee |
dossier_infoblox_web_cat_CL |
Nee | Nee |
dossier_geo_CL |
Nee | Nee |
dossier_dns_CL |
Nee | Nee |
dossier_atp_threat_CL |
Nee | Nee |
dossier_atp_CL |
Nee | Nee |
dossier_ptr_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: Infoblox-API-sleutel is vereist. Raadpleeg de documentatie voor meer informatie over API op de Rest API-verwijzing
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Infoblox-API om bedreigingsindicatoren voor TIDE te maken en dossiergegevens op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van het playbook TriggersSync.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 2: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van triggersSync-playbook. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van triggersSync-playbook.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 3: de rol van inzender toewijzen aan toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 4: stappen voor het genereren van de Infoblox-API-referenties
Volg deze instructies om de Infoblox-API-sleutel te genereren. Genereer in de Infoblox Cloud Services Portal een API-sleutel en kopieer deze ergens veilig om in de volgende stap te gebruiken. Hier vindt u instructies voor het maken van API-sleutels.
STAP 5: stappen voor het implementeren van de connector en de bijbehorende Azure-functie
BELANGRIJK: Voordat u de Infoblox-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) direct beschikbaar.., evenals de Verificatiereferenties voor de Infoblox-API
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Infoblox-gegevensconnector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande gegevens in: Azure Tenant-id Azure Client-id Azure Clientgeheim Infoblox API-token Infoblox Base URL Werkruimte-id Sleutellogboekniveau werkruimte (standaard: INFO) Betrouwbaarheid Bedreigingsniveau App Insights Werkruimteresource-id
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Infoblox SOC Insight-gegevensconnector via AMA
Ondersteund door:Infoblox
Met de Infoblox SOC Insight Data Connector kunt u eenvoudig uw Infoblox BloxOne SOC Insight-gegevens verbinden met Microsoft Sentinel. Door uw logboeken te verbinden met Microsoft Sentinel, kunt u profiteren van de verrijking & correlatie, waarschuwingen en bedreigingsinformatie voor elk logboek.
Deze gegevensconnector neemt Infoblox SOC Insight CDC-logboeken op in uw Log Analytics-werkruimte met behulp van de nieuwe Azure Monitor Agent. Meer informatie over opnemen met behulp van de nieuwe Azure Monitor-agent vindt u hier. Microsoft raadt aan deze gegevensconnector te gebruiken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Als u gegevens van niet-Azure VM's wilt verzamelen, moet Azure Arc zijn geïnstalleerd en ingeschakeld. Meer informatie
- Common Event Format (CEF) via AMA en Syslog via AMA-gegevensconnectors moeten worden geïnstalleerd. Meer informatie
Installatie-instructies:
Werkruimtesleutels
Als u de playbooks als onderdeel van deze oplossing wilt gebruiken, vindt u hieronder de werkruimte-id en primaire sleutel van de werkruimte hieronder.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Werkruimtesleutel: <variabele waarde opgegeven tijdens de installatie>
Parsers
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht InfobloxCDC_SOCInsights die wordt geïmplementeerd met de Microsoft Sentinel-oplossing.
SOC Insights
Voor deze gegevensconnector wordt ervan uitgegaan dat u toegang hebt tot Infoblox BloxOne Threat Defense SOC Insights. Meer informatie over SOC Insights vindt u hier.
Infoblox Cloud Data Connector
Deze gegevensconnector gaat ervan uit dat er al een Infoblox Data Connector-host is gemaakt en geconfigureerd in de Infoblox Cloud Services Portal (CSP). Omdat de Infoblox-gegevensconnector een functie van BloxOne Threat Defense is, is toegang tot een geschikt BloxOne Threat Defense-abonnement vereist. Zie deze snelstartgids voor meer informatie en licentievereisten.
Volg de onderstaande stappen om deze gegevensconnector te configureren
A. De Common Event Format (CEF) configureren via AMA-gegevensconnector
Opmerking: CEF-logboeken worden alleen verzameld van Linux agents
Navigeer naar de blade gegevensconnectors van uw Microsoft Sentinel werkruimte>.
Zoek naar de Cef (Common Event Format) via de AMA-gegevensconnector en open deze.
Zorg ervoor dat er geen bestaande DCR is geconfigureerd voor het verzamelen van de vereiste faciliteit van logboeken, omdat dit kan leiden tot logboekduplicatie. Maak een nieuwe DCR (Regel voor gegevensverzameling).
Opmerking: het wordt aanbevolen om de AMA-agent v1.27 minimaal te installeren. Meer informatie en zorg ervoor dat er geen dubbele DCR is, omdat dit logboekduplicatie kan veroorzaken.
Voer de opdracht uit die is opgegeven in de CEF-pagina (Common Event Format) via de AMA-gegevensconnector om de CEF-collector op de computer te configureren.
B. Configureer in de Infoblox Cloud Services Portal Infoblox BloxOne om CEF Syslog-gegevens te verzenden naar de Infoblox Cloud Data Connector om door te sturen naar de Syslog-agent
Volg de onderstaande stappen om de Infoblox CDC te configureren om BloxOne-gegevens te verzenden naar Microsoft Sentinel via de Linux Syslog-agent.
- Navigeer naar Gegevensconnector beheren>.
- Klik op het tabblad Doelconfiguratie bovenaan.
- Klik op Syslog maken>.
- Naam: geef de nieuwe bestemming een duidelijke naam, zoals Microsoft-Sentinel-Destination.
- Beschrijving: geef het desgewenst een zinvolle beschrijving.
- Status: stel de status in op Ingeschakeld.
- Indeling: stel de notatie in op CEF.
- FQDN/IP: voer het IP-adres in van het Linux apparaat waarop de Linux-agent is geïnstalleerd.
- Poort: laat het poortnummer op 514 staan.
- Protocol: selecteer het gewenste protocol en ca-certificaat, indien van toepassing.
- Klik op Opslaan & Sluiten.
- Klik op het tabblad Verkeersstroomconfiguratie bovenaan.
- Klik op Maken.
- Naam: geef de nieuwe verkeersstroom een duidelijke naam, zoals Microsoft-Sentinel-Flow.
- Beschrijving: geef het desgewenst een zinvolle beschrijving.
- Status: stel de status in op Ingeschakeld.
- Vouw de sectie Service-exemplaar uit .
- Service-exemplaar: selecteer het gewenste service-exemplaar waarvoor de Data Connector-service is ingeschakeld.
- Vouw de sectie Bronconfiguratie uit .
- Bron: Selecteer BloxOne-cloudbron.
- Selecteer het type intern meldingenlogboek .
- Vouw de sectie Doelconfiguratie uit .
- Selecteer de bestemming die u zojuist hebt gemaakt.
- Klik op Opslaan & Sluiten.
- De configuratie enige tijd toestaan om te activeren.
C. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version
U moet verhoogde machtigingen (sudo) op uw computer hebben
- Voer de volgende opdracht uit om uw connectiviteit te valideren:: <variabele waarde die is opgegeven tijdens de installatie>
**2. Beveilig uw computer **
Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie
Infoblox SOC Insight Data Connector via REST API
Ondersteund door:Infoblox
Met de Infoblox SOC Insight Data Connector kunt u eenvoudig uw Infoblox BloxOne SOC Insight-gegevens verbinden met Microsoft Sentinel. Door uw logboeken te verbinden met Microsoft Sentinel, kunt u profiteren van de verrijking & correlatie, waarschuwingen en bedreigingsinformatie voor elk logboek.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
InfobloxInsight_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Werkruimtesleutels
Als u de playbooks als onderdeel van deze oplossing wilt gebruiken, vindt u hieronder de werkruimte-id en primaire sleutel van de werkruimte hieronder.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Werkruimtesleutel: <variabele waarde opgegeven tijdens de installatie>
Parsers
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht met de naam InfobloxInsight die wordt geïmplementeerd met de Microsoft Sentinel Solution.
SOC Insights
Voor deze gegevensconnector wordt ervan uitgegaan dat u toegang hebt tot Infoblox BloxOne Threat Defense SOC Insights. Meer informatie over SOC Insights vindt u hier.
Volg de onderstaande stappen om deze gegevensconnector te configureren
1. Genereer een Infoblox-API-sleutel en kopieer deze ergens veilig
Genereer in de Infoblox Cloud Services Portal een API-sleutel en kopieer deze ergens veilig om in de volgende stap te gebruiken. Hier vindt u instructies voor het maken van API-sleutels.
2. Het playbook Infoblox-SOC-Get-Open-Insights-API configureren
Maak en configureer het Infoblox-SOC-Get-Open-Insights-API-playbook dat met deze oplossing wordt geïmplementeerd. Voer uw Infoblox-API-sleutel in de juiste parameter in wanneer u hierom wordt gevraagd.
InfoSecGlobal-gegevensconnector
Ondersteund door:InfoSecGlobal
Gebruik deze gegevensconnector om te integreren met InfoSec Crypto Analytics en gegevens rechtstreeks naar Microsoft Sentinel te verzenden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
InfoSecAnalytics_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
InfoSecGlobal Crypto Analytics-gegevensconnector
- Gegevens worden naar Microsoft Sentinel verzonden via Logstash
- Vereiste Logstash-configuratie is inbegrepen bij de installatie van Crypto Analytics
- In de documentatie bij de Installatie van Crypto Analytics wordt uitgelegd hoe u het verzenden van gegevens naar Microsoft Sentinel
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
IONIX-beveiligingslogboeken (via Codeless Connector Framework)
Ondersteund door:IONIX
Met de IONIX-connector kunt u actie-items van uw IONIX Attack Surface Management-platform opnemen in Microsoft Sentinel met behulp van het Codeless Connector Framework (CCF). Actie-items vertegenwoordigen beveiligingsresultaten en beveiligingsproblemen die moeten worden hersteld.
Deze connector peilt automatisch de IONIX-API en schrijft gegevens naar de CyberpionActionItems_CL tabel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyberpionActionItems_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- IONIX API-token: er is een API-token van de IONIX-portal vereist. Maak er een in instellingen-API > in uw IONIX-portal.
Installatie-instructies:
IONIX verbinden met Microsoft Sentinel
Deze connector gebruikt de IONIX-API om automatisch te zoeken naar actie-items en deze op te nemen in Microsoft Sentinel. U hebt een API-token van uw IONIX-portal nodig.
- IONIX API-token: (Voer uw JWT API-token in vanuit ionix-instellingen-API > )
- IONIX-accountnaam: (cyberpion)
- Verbinding in-/uitschakelen
IPinfo Abuse Data Connector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om standard_abuse gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Abuse_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo ASN-gegevensconnector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om standard_ASN gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_ASN_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Carrier Data Connector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om standard_carrier gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Carrier_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo-connector voor bedrijfsgegevens
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om standard_company gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Company_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Core Data Connector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om Core-gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_CORE_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Country ASN-gegevensconnector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om country_asn gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Country_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Domain Data Connector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om standard_domain gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Domain_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Iplocation-gegevensconnector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om standard_location gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Location_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Iplocation Extended Data Connector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om standard_location_extended gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Location_extended_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Plus-gegevensconnector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om Plus-gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_PLUS_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo-connector voor privacygegevens
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om standard_privacy gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Privacy_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo Privacy Extended Data Connector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om standard_privacy gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo ResProxy-gegevensconnector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om ResProxy-gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo RIRWHOIS-gegevensconnector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om RIRWHOIS-gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo RWHOIS-gegevensconnector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om RWHOIS-gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_RWHOIS_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo WHOIS ASN-gegevensconnector
Ondersteund door:IPinfo
Deze IPinfo-gegevensconnector installeert een Azure Function-app om WHOIS_ASN gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo WHOIS MNT-gegevensconnector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om WHOIS_MNT gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo WHOIS NET Data Connector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om WHOIS_NET gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo WHOIS ORG-gegevensconnector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om WHOIS_ORG gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
IPinfo WHOIS POC-gegevensconnector
Ondersteund door:IPinfo
Met deze IPinfo-gegevensconnector wordt een Azure Function-app geïnstalleerd om WHOIS_POC gegevenssets te downloaden en in te voegen in een aangepaste logboektabel in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- IPinfo API-token: haal hier uw IPinfo-API-token op.
Installatie-instructies:
1. API-token ophalen
Haal hier uw IPinfo-API-token op.
2. Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory)
Maak in uw Azure AD-tenant een Azure AAD-toepassing (Active Directory) en verkrijg tenant-id, client-id en clientgeheim: gebruik deze koppeling.
3. Wijs aan de AAD-toepassing de Microsoft Sentinel rol Inzender toe.
Wijs de AAD-toepassing die u zojuist hebt gemaakt toe aan de rol Inzender (Bevoorrechte beheerder) en De rol Van uitgever van metrische gegevens bewaken (functiefunctie) in dezelfde resourcegroep die u gebruikt voor 'Log Analytics Workspace' waaraan 'Microsoft Sentinel' is toegevoegd: Gebruik deze koppeling.
4. Werkruimteresource-id ophalen
Gebruik de blade Log Analytics Workspace -> Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
5. De functie Azure implementeren
Gebruik dit voor geautomatiseerde implementatie van de IPinfo-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID CLIENT_SECRET in.
Handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de IPinfo-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer Azure Functie-app.
- Maak een functie-app met Hosting Functions Premium of een App Service-abonnement met behulp van een geavanceerde optie met BEHULP van VSCode.
- Volg de instructies voor de handmatige implementatie van de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de functie-app is geïmplementeerd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Instellingen -> Configuratie of Omgevingsvariabelen.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS LOCATIE PLANNEN
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Island Enterprise Browser V2
Ondersteund door:Island
Met de Island Enterprise Browser V2-gegevensconnector kunt u gebruikersgebeurtenissen, beheerdersgebeurtenissen en systeemgebeurtenissen opnemen, allemaal binnen één connector.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Island_UserEvents_V2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Island-API-sleutel: er is een Island-API-sleutel vereist. Genereer de API-sleutel via Island Management Console. Raadpleeg de officiële island-documentatie voor meer instructies.
Installatie-instructies:
Island verbinden met Microsoft Sentinel
API-URL en API-sleutel zijn beschikbaar via Island Management Console. Raadpleeg de officiële island-documentatie voor meer instructies.
- API-URL: (API-URL)
- API-sleutel: (sleutel)
- Verbinding in-/uitschakelen
Jamf Protect Push Connector
Ondersteund door:Jamf Software, LLC
De Jamf Protect-connector biedt de mogelijkheid om onbewerkte gebeurtenisgegevens van Jamf Protect te lezen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
jamfprotecttelemetryv2_CL |
Ja | Ja |
jamfprotectunifiedlogs_CL |
Ja | Ja |
jamfprotectalerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Deze connector leest gegevens uit de tabellen die Jamf Protect gebruikt in een Microsoft Analytics-werkruimte. Als de optie voor het doorsturen van gegevens is ingeschakeld in Jamf Protect, worden onbewerkte gebeurtenisgegevens verzonden naar de Microsoft Sentinel Opname-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Push uw logboeken naar de werkruimte
Gebruik de volgende parameters om de computer te configureren om de logboeken naar de werkruimte te verzenden.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Unified Logs Stream Name: <variabele waarde opgegeven tijdens de installatie>
- Naam van telemetrie-Stream: <variabele waarde opgegeven tijdens de installatie>
- Waarschuwingen Stream name: <variabele waarde die wordt opgegeven tijdens de installatie>
JoeSandboxThreatIntelligence (met behulp van Azure Functions)
Ondersteund door:Stefan Bühlmann
De JoeSandboxThreatIntelligence-connector genereert automatisch bedreigingsinformatie en voert deze in voor alle inzendingen naar JoeSandbox, waardoor de detectie van bedreigingen en het reageren op incidenten in Sentinel worden verbeterd. Deze naadloze integratie stelt teams in staat om opkomende bedreigingen proactief aan te pakken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Abonnement: Azure Abonnement met de rol eigenaar is vereist om een toepassing te registreren in Azure Active Directory() en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: JoeSandbox-API-sleutel is vereist.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de JoeSandbox-API om JoeSandbox Threat IOC's naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager) voor flexverbruiksabonnement
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de toepassings-id, tenant-id, clientgeheim, JoeSandbox-API-sleutel, JoeSandbox Initial Fetch Date, TimeInterval en deploy in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: arm-sjabloon (Azure Resource Manager) voor premium-abonnement
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de toepassings-id, tenant-id, clientgeheim, JoeSandbox-API-sleutel, JoeSandbox Initial Fetch Date, TimeInterval en deploy in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Keeper Security Push Connector
Ondersteund door:Keeper Security
De Keeper Security-connector biedt de mogelijkheid om onbewerkte gebeurtenisgegevens van Keeper Security in Microsoft Sentinel te lezen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Deze connector leest gegevens uit de tabellen die Keeper Security gebruikt in een Microsoft Analytics-werkruimte. Als de optie voor het doorsturen van gegevens is ingeschakeld in Keeper Security, worden onbewerkte gebeurtenisgegevens verzonden naar de Microsoft Sentinel Opname-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Push uw logboeken naar de werkruimte
Gebruik de volgende parameters om de computer te configureren om de logboeken naar de werkruimte te verzenden.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Gebeurtenislogboeken Stream naam: <variabele waarde opgegeven tijdens de installatie>
3. Keeper Beheer Console bijwerken
Configureer de Keeper Beheer Console met de Azure verbindingsgegevens om het doorsturen van gegevens naar Microsoft Sentinel in te schakelen.
Azure Monitor-logboeken configureren in Keeper Beheer Console
Meld u in de Keeper Beheer-console aan als Keeper-beheerder. Ga vervolgens naar Rapportage & waarschuwingen en selecteer Azure Logboeken bewaken.
Geef de volgende informatie uit stap 2 hierboven op in de Beheer Console:
- Azure tenant-id: U vindt deze in het gebied Abonnementen van Azure.
- Toepassings-id (client): deze bevindt zich in het overzichtsscherm voor app-registratie (KeeperLogging)
- Waarde van clientgeheim: dit is de waarde van het clientgeheim van de app-registratiegeheimen.
-
Eindpunt-URL: dit is een URL die is gemaakt in de volgende specifieke indeling:
https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01
De eindpunt-URL samenstellen:
- <Url van> verzameling Dit is afkomstig van stap 2 hierboven
-
<
>DCR_ID Uit de regel voor gegevensverzamelaar kopieert u de waarde Onveranderbare id, bijvoorbeeld
dcr-xxxxxxx - Dit is de tabelnaam die door Azure is gemaakt, bijvoorbeeld
Custom-KeeperSecurityEventNewLogsVoorbeeld:
https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01LastPass Enterprise - Rapportage (Polling CCF)
Ondersteund door:The Collective Consulting
De LastPass Enterprise-connector biedt de mogelijkheid om LastPass-rapportage (audit) aan te melden bij Microsoft Sentinel. De connector biedt inzicht in aanmeldingen en activiteiten in LastPass (zoals het lezen en verwijderen van wachtwoorden).
Log Analytics-tabel(en):
Tabel DCR-ondersteuning Opname met alleen lake LastPassNativePoller_CLJa Ja Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- LastPass API-sleutel en CID: een LastPass-API-sleutel en CID zijn vereist. Zie LastPass-API voor meer informatie.
Installatie-instructies:
LastPass Enterprise verbinden met Microsoft Sentinel
Geef de API-sleutel van LastPass Provisioning op.
Lookout Mobile Threat Detection Connector (via Codeless Connector Framework) (preview)
Ondersteund door:Lookout
De Lookout Mobile Threat Detection-gegevensconnector biedt de mogelijkheid om gebeurtenissen met betrekking tot mobiele beveiligingsrisico's op te nemen in Microsoft Sentinel via de Mobile Risk-API. Raadpleeg de API-documentatie voor meer informatie. Met deze connector kunt u potentiële beveiligingsrisico's onderzoeken die zijn gedetecteerd op mobiele apparaten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
LookoutMtdV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
De Lookout Mobile Threat Defense-connector verbinden met Microsoft Sentinel
Zorg ervoor dat aan de volgende vereisten is voldaan voordat u verbinding maakt met Lookout.
- ApiKey is vereist voor de Mobile Threat Detection-API. Raadpleeg de documentatie voor meer informatie over API. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
- API-sleutel: (Voer uw API-sleutel in)
- Verbinding in-/uitschakelen
Luminar IOC's en gelekte referenties (met behulp van Azure Functions)
Ondersteund door:Cognyte Luminar
Luminar IOC's en de connector voor gelekte referenties maakt integratie van op intelligentie gebaseerde IOC-gegevens en klantgerelateerde gelekte records mogelijk die door Luminar zijn geïdentificeerd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Abonnement: Azure Abonnement met de rol eigenaar is vereist om een toepassing te registreren in Azure Active Directory() en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: Luminar-client-id, Luminar-clientgeheim en Luminar-account-id zijn vereist.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Cognyte Luminar-API om Luminar-IOC's en gelekte referenties in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de toepassings-id, tenant-id, clientgeheim, Luminar API-client-id, Luminar API-account-id, Luminar API-clientgeheim, limiet, tijdinterval en implementatie in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Cognyte Luminar-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor het ontwikkelen van Azure functie.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld CognyteLuminarXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waarin Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): Toepassings-id Tenant-id Clientgeheim Luminar API Client-ID Luminar API-account-id Luminar API Client Secret Limit TimeInterval- gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde in de volgende indeling op:
https://<CustomerId>.ods.opinsights.azure.usZodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
MailGuard 365
Ondersteund door:MailGuard 365
MailGuard 365 Enhanced Email Security for Microsoft 365. MailGuard 365 is exclusief voor Microsoft Marketplace en is geïntegreerd met Microsoft 365-beveiliging (inclusief Defender) voor verbeterde bescherming tegen geavanceerde e-mailbedreigingen zoals phishing, ransomware en geavanceerde BEC-aanvallen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MailGuard365_Threats_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
MailGuard 365 configureren en verbinden
- Klik in de MailGuard 365-console op Instellingen op de navigatiebalk.
- Klik op het tabblad Integraties .
- Klik op de Microsoft Sentinel Inschakelen.
- Voer uw werkruimte-id en primaire sleutel in de onderstaande velden in en klik op Voltooien.
- Neem voor aanvullende instructies contact op met de ondersteuning van MailGuard 365.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
MailRisk door Secure Practice
Ondersteund door:Secure Practice
Met de MailRisk by Secure Practice-connector kunt u gegevens uit de MailRisk-API opnemen in Microsoft Sentinel. Deze connector biedt inzicht in gerapporteerde e-mailberichten, risico-evaluaties en beveiligingsgebeurtenissen met betrekking tot e-mailbedreigingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MailRiskEventEmails_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
-
API-referenties: het sleutelpaar van de Secure Practice-API is ook nodig. Deze worden gemaakt in de instellingen in de beheerportal. Genereer een nieuw sleutelpaar met beschrijving
Microsoft Sentinel.
Installatie-instructies:
1. Api-referenties voor secure practice verkrijgen
Meld u aan bij uw Secure Practice-account en genereer een API-sleutel en API-geheim als u dat nog niet hebt gedaan.
2. Verbinding maken met MailRisk-API
Voer hieronder uw Secure Practice-API-referenties in. De referenties worden veilig opgeslagen en gebruikt om API-aanvragen te verifiëren.
- API-sleutel: (Voer uw Secure Practice-API-sleutel in)
- API-geheim: (Voer uw Secure Practice-API-geheim in)
- Verbinding in-/uitschakelen
meshStack-gebeurtenislogboeken
Ondersteund door:meshcloud GmbH
De meshStack Event Logs-connector biedt de mogelijkheid om meshStack-platformgebeurtenissen op te nemen in Microsoft Sentinel. Door meshStack-gebeurtenislogboeken te verbinden met Microsoft Sentinel, kunt u deze gegevens bekijken in werkmappen, deze gebruiken om aangepaste waarschuwingen te maken en uw onderzoeksproces voor cloudplatformgovernance, audit en nalevingsbewaking te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
meshStackEventLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- meshStack OAuth2 API-sleutel: er is een geldige meshStack-API-sleutel met de machtiging 'Beheer: lijst met gebeurtenislogboeken in elke werkruimte' vereist. Maak de API-sleutel in het deelvenster meshStack Beheer onder Access Control > API-sleutels. De API-sleutel biedt OAuth2-referenties (sleutel-id als client_id en sleutelgeheim als client_secret) voor verificatie. Opmerking: de API-sleutel is gebonden aan een werkruimte, maar heeft toegang tot gebeurtenissen vanuit alle werkruimten.
- meshStack Instance: Toegang tot een meshStack-exemplaar met de Gebeurtenissen-API ingeschakeld.
Installatie-instructies:
MeshStack-gebeurtenislogboeken verbinden met Microsoft Sentinel
Voer de API-URL van uw meshStack-exemplaar en OAuth2-referenties in vanuit de API-sleutel. De API-URL-indeling moet zijn: https://your-meshstack-instance.io. Maak een API-sleutel in meshStack (Beheer Panel > Access Control > API-sleutels) met de machtiging 'Beheer: Lijst met gebeurtenislogboeken in elke werkruimte'. De API-sleutel biedt een sleutel-id (client_id) en sleutelgeheim (client_secret) voor OAuth2-verificatie.
- URL van meshStack API: (https://your-meshstack-instance.io)
- Client-id (sleutel-id): (Voer de sleutel-id van de API-sleutel in)
- Clientgeheim (sleutelgeheim): (Sleutelgeheim invoeren vanuit API-sleutel)
- Verbinding in-/uitschakelen
Microsoft 365 (voorheen Office 365)
Ondersteund door:Microsoft Corporation
De microsoft 365-connector voor activiteitenlogboeken (voorheen Office 365) biedt inzicht in lopende gebruikersactiviteiten. U krijgt details van bewerkingen zoals bestandsdownloads, verzonden toegangsaanvragen, wijzigingen in groepsgebeurtenissen, set-postvak en details van de gebruiker die de acties heeft uitgevoerd. Door Microsoft 365-aanmeldingen te verbinden met Microsoft Sentinel kunt u deze gegevens gebruiken om dashboards weer te geven, aangepaste waarschuwingen te maken en uw onderzoeksproces te verbeteren. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OfficeActivity |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft 365 Insider Risk Management
Ondersteund door:Microsoft Corporation
Microsoft 365 Insider Risk Management is een nalevingsoplossing in Microsoft 365 waarmee interne risico's worden geminimaliseerd door u in staat te stellen schadelijke en onbedoelde activiteiten in uw organisatie te detecteren, te onderzoeken en erop te reageren. Risicoanalisten in je organisatie kunnen snel de juiste acties ondernemen om ervoor te zorgen dat gebruikers voldoen aan de nalevingsstandaarden van je organisatie.
Met intern risicobeleid kunt u het volgende doen:
- definieer de typen risico's die u in uw organisatie wilt identificeren en detecteren.
- beslissen welke acties moeten worden ondernomen als reactie, waaronder het escaleren van zaken naar Microsoft Advanced eDiscovery indien nodig.
Deze oplossing produceert waarschuwingen die kunnen worden weergegeven door Office-klanten in de Insider Risk Management-oplossing in het Microsoft 365-compliancecentrum. Meer informatie over Insider Risk Management.
Deze waarschuwingen kunnen worden geïmporteerd in Microsoft Sentinel met deze connector, zodat u ze kunt bekijken, onderzoeken en erop kunt reageren in een bredere bedreigingscontext van de organisatie. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Gebeurtenislogboeken van Microsoft Active-Directory-domeincontrollers
Ondersteund door:Community
[Optie 3 & 4] - Met Azure Agent bewaken kunt u een deel of alle beveiligingsgebeurtenislogboeken van domeincontrollers streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u aangepaste waarschuwingen maken en het onderzoek verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityEvent |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft om gegevens van niet-Azure VM's te verzamelen, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 3 en 4 van de wiki.
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers de Azure Arc-agent implementeert Meer informatie
Beveiligingslogboeken van domeincontrollers
Selecteer hoe u beveiligingslogboeken van domeincontrollers wilt streamen. Als u optie 3 wilt implementeren, hoeft u alleen dc te selecteren op dezelfde site als Exchange-servers. Als u optie 4 wilt implementeren, kunt u alle DC's van uw forest selecteren.
[Optie 3] Alleen domeincontrollers weergeven op dezelfde site als Exchange-servers voor de volgende stap
Hiermee wordt de hoeveelheid gegevens beperkt die wordt verzonden, maar kan een incident niet worden gedetecteerd.
[Optie 4] Alle domeincontrollers van uw Active-Directory Forest weergeven voor de volgende stap
Hierdoor kunnen alle beveiligingsevenementen worden verzameld
Verzameling beveiligingslogboeken
Regels voor gegevensverzameling - Logboeken voor beveiligingsgebeurtenissen
Gegevensverzamelingsregel inschakelen voor beveiligingslogboeken Logboeken beveiligings gebeurtenissen worden alleen verzameld van Windows-agents .
- Voeg gekozen DC's toe op het tabblad Resources .
- Beveiligingslogboekniveau selecteren
Gemeenschappelijk niveau is het minimaal vereiste niveau. Selecteer 'Algemene' of 'Alle beveiligingsevenementen' in DCR-definitie.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Microsoft Copilot
Ondersteund door:Microsoft
De connector voor Microsoft Copilot logboeken in Microsoft Sentinel maakt naadloze opname van door Copilot gegenereerde activiteitenlogboeken van M365 Copilot mogelijk en Security Copilot in Microsoft Sentinel voor geavanceerde detectie, onderzoek en reactie op bedreigingen. Het verzamelt telemetrie van Microsoft Copilot services, zoals gebruiksgegevens en systeemantwoorden en opname in Microsoft Sentinel, zodat beveiligingsteams op misbruik kunnen controleren, afwijkingen kunnen detecteren en naleving van organisatiebeleid kunnen handhaven.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CopilotActivity |
Nee | Ja |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Tenantmachtigingen: 'Beveiligingsbeheerder' of 'Globale beheerder' voor de tenant van de werkruimte.
Installatie-instructies:
Microsoft Copilot auditlogboeken verbinden met Microsoft Sentinel
Deze connector maakt gebruik van de Office Management-API om uw Microsoft Copilot auditlogboeken op te halen. De logboeken worden opgeslagen en verwerkt in uw bestaande Microsoft Sentinel werkruimte. U vindt de gegevens in de tabel CopilotActivity .
- Verbinding in-/uitschakelen
Microsoft Dataverse
Ondersteund door:Microsoft Corporation
Microsoft Dataverse is een schaalbaar en veilig gegevensplatform waarmee organisaties gegevens kunnen opslaan en beheren die worden gebruikt door zakelijke toepassingen. De Microsoft Dataverse-gegevensconnector biedt de mogelijkheid om Dataverse- en Dynamics 365 CRM-activiteitenlogboeken op te nemen vanuit de Microsoft Purview-controle zich aan te melden bij Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
DataverseActivity |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Tenantmachtigingen: 'Beveiligingsbeheerder' of 'Globale beheerder' voor de tenant van de werkruimte.
- Micorosft Purview Audit: Microsoft Purview-controle (Standard of Premium) moet worden geactiveerd.
- Productiegegevensverse: activiteitenlogboekregistratie is alleen beschikbaar voor productieomgevingen. Andere typen, zoals sandbox, bieden geen ondersteuning voor activiteitenlogboekregistratie.
- Controle-instellingen voor Dataverse: Controle-instellingen moeten zowel globaal als op entiteits-/tabelniveau worden geconfigureerd. Zie Controle-instellingen voor Dataverse voor meer informatie.
Installatie-instructies:
Microsoft Dataverse-auditlogboeken verbinden met Microsoft Sentinel
Deze connector maakt gebruik van de Office Management-API om uw Dataverse-auditlogboeken op te halen. De logboeken worden opgeslagen en verwerkt in uw bestaande Microsoft Sentinel werkruimte. U vindt de gegevens in de tabel DataverseActivity .
- Verbinding in-/uitschakelen
Microsoft Defender for Cloud Apps
Ondersteund door:Microsoft Corporation
Door verbinding te maken met Microsoft Defender for Cloud Apps krijgt u inzicht in uw cloud-apps, krijgt u geavanceerde analyses om cyberdreigingen te identificeren en te bestrijden en kunt u bepalen hoe uw gegevens reizen.
- Identificeer schaduw-IT-cloud-apps in uw netwerk.
- Beheer en beperk de toegang op basis van voorwaarden en sessiecontext.
- Gebruik ingebouwd of aangepast beleid voor het delen van gegevens en preventie van gegevensverlies.
- Identificeer gebruik met een hoog risico en ontvang waarschuwingen voor ongebruikelijke gebruikersactiviteiten met gedragsanalyses en mogelijkheden voor anomaliedetectie van Microsoft, waaronder ransomware-activiteit, onmogelijk reizen, verdachte regels voor het doorsturen van e-mail en het massaal downloaden van bestanden.
- Bestanden massaal downloaden
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Nee | Nee |
McasShadowItReporting |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Microsoft Defender voor Eindpunt
Ondersteund door:Microsoft Corporation
Microsoft Defender voor Eindpunt is een beveiligingsplatform dat is ontworpen om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Het platform maakt waarschuwingen wanneer verdachte beveiligingsincidenten worden gezien in een organisatie. Haal waarschuwingen op die zijn gegenereerd in Microsoft Defender voor Eindpunt Microsoft Sentinel, zodat u beveiligingsincidenten effectief kunt analyseren. U kunt regels maken, dashboards bouwen en playbooks schrijven voor onmiddellijke reactie. Zie de Microsoft Sentinel-documentatie >voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Defender for Identity
Ondersteund door:Microsoft Corporation
Maak verbinding Microsoft Defender for Identity om inzicht te krijgen in de gebeurtenissen en gebruikersanalyses. Microsoft Defender for Identity identificeert, detecteert en helpt u bij het onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke acties van binnenin uw organisatie. Microsoft Defender for Identity stelt SecOp-analisten en beveiligingsprofessionals in staat om geavanceerde aanvallen in hybride omgevingen te detecteren om het volgende te doen:
- Gebruikers, entiteitsgedrag en activiteiten bewaken met op leren gebaseerde analyses
- Gebruikersidentiteiten en referenties beveiligen die zijn opgeslagen in Active Directory
- Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de kill chain identificeren en onderzoeken
- Geef duidelijke incidentinformatie op een eenvoudige tijdlijn voor snelle triage
Zie de Microsoft Sentinel-documentatie >voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Defender voor IoT
Ondersteund door:Microsoft Corporation
Krijg inzicht in uw IoT-beveiliging door Microsoft Defender voor IoT-waarschuwingen te verbinden met Microsoft Sentinel. U kunt out-of-the-box metrische waarschuwingen en gegevens ophalen, waaronder waarschuwingstrends, belangrijkste waarschuwingen en uitsplitsing van waarschuwingen op ernst. U kunt ook informatie krijgen over de aanbevelingen voor uw IoT-hubs, waaronder de belangrijkste aanbevelingen en aanbevelingen op ernst. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Defender voor Office 365 (preview)
Ondersteund door:Microsoft Corporation
Microsoft Defender voor Office 365 beschermt uw organisatie tegen schadelijke bedreigingen door e-mailberichten, koppelingen (URL's) en hulpprogramma's voor samenwerking. Door Microsoft Defender voor Office 365 waarschuwingen op te nemen in Microsoft Sentinel, kunt u informatie over bedreigingen op basis van e-mail en URL opnemen in uw bredere risicoanalyse en dienovereenkomstig responsscenario's samenstellen.
De volgende typen waarschuwingen worden geïmporteerd:
- Er is een mogelijk schadelijke URL-klik gedetecteerd
- E-mailberichten met malware verwijderd na bezorging
- E-mailberichten met schadelijke phishing-URL verwijderd na bezorging
- E-mail die door de gebruiker is gerapporteerd als malware of phishing
- Verdachte verzendpatronen voor e-mail gedetecteerd
- Gebruiker kan geen e-mail verzenden
Deze waarschuwingen kunnen worden bekeken door Office-klanten in het ** Office-beveiligings- en compliancecentrum**.
Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Defender-bedreigingsinformatie
Ondersteund door:Microsoft Corporation
Microsoft Sentinel biedt u de mogelijkheid om bedreigingsinformatie te importeren die is gegenereerd door Microsoft om bewaking, waarschuwingen en opsporing in te schakelen. Gebruik deze gegevensconnector om Indicators of Compromise (IOC's) te importeren uit Microsoft Defender-bedreigingsinformatie (MDTI) in Microsoft Sentinel. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's en bestands-hashes, enzovoort zijn.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Defender XDR
Ondersteund door:Microsoft Corporation
Microsoft Defender XDR is een geïntegreerde, systeemeigen geïntegreerde, bedrijfsbeveiligingssuite voor en na inbreuk die eindpunten, identiteiten, e-mail en toepassingen beschermt en u helpt geavanceerde bedreigingen te detecteren, te voorkomen, te onderzoeken en er automatisch op te reageren.
Microsoft Defender XDR suite omvat:
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Identity
- Microsoft Defender voor Office 365
- Threat & Vulnerability Management
- Microsoft Defender for Cloud Apps
Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityIncident |
Ja | Ja |
SecurityAlert |
Ja | Ja |
DeviceEvents |
Ja | Ja |
EmailEvents |
Ja | Ja |
IdentityLogonEvents |
Ja | Ja |
CloudAppEvents |
Ja | Ja |
AlertEvidence |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Entra ID
Ondersteund door:Microsoft Corporation
Krijg inzicht in Microsoft Entra ID door audit- en aanmeldingslogboeken te verbinden met Microsoft Sentinel om inzichten te verzamelen over Microsoft Entra ID scenario's. U kunt meer informatie krijgen over app-gebruik, beleid voor voorwaardelijke toegang, verouderde verificatiegerelateerde gegevens met behulp van onze aanmeldingslogboeken. U kunt informatie krijgen over uw selfservice gebruik van wachtwoordherstel (SSPR), Microsoft Entra ID Beheeractiviteiten zoals gebruikers, groepen, rollen, app-beheer met behulp van de tabel Auditlogboeken. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SigninLogs |
Ja | Ja |
AuditLogs |
Ja | Ja |
AADNonInteractiveUserSignInLogs |
Ja | Ja |
AADServicePrincipalSignInLogs |
Ja | Ja |
AADManagedIdentitySignInLogs |
Ja | Ja |
AADProvisioningLogs |
Ja | Ja |
ADFSSignInLogs |
Ja | Ja |
AADUserRiskEvents |
Ja | Ja |
AADRiskyUsers |
Ja | Ja |
NetworkAccessTraffic |
Ja | Ja |
AADRiskyServicePrincipals |
Ja | Ja |
AADServicePrincipalRiskEvents |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
assets Microsoft Entra ID
Ondersteund door:Microsoft Corporation
Entra gegevensconnector voor id-assets biedt uitgebreidere inzichten in activiteitsgegevens door details aan te vullen met assetgegevens. Gegevens van deze connector worden gebruikt voor het maken van gegevensrisicografieken in Purview. Als u deze grafieken hebt ingeschakeld, worden de grafieken niet gebouwd als u deze connector deactiveert. Meer informatie over de grafiek met gegevensrisico's.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Microsoft Entra Id-beveiliging
Ondersteund door:Microsoft Corporation
Microsoft Entra Id-beveiliging biedt een geconsolideerde weergave van risicogebruikers, risicogebeurtenissen en beveiligingsproblemen, met de mogelijkheid om risico's onmiddellijk te verhelpen en beleidsregels in te stellen om toekomstige gebeurtenissen automatisch te herstellen. De service is gebaseerd op de ervaring van Microsoft om consumentenidentiteiten te beschermen en krijgt een enorme nauwkeurigheid van het signaal van meer dan 13 miljard aanmeldingen per dag. Microsoft Microsoft Entra Id-beveiliging-waarschuwingen integreren met Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en onderzoek te verbeteren. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Microsoft Entra ID Premium P1/P2 downloaden
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Exchange Beheer auditlogboeken per gebeurtenislogboek
Ondersteund door:Community
[Optie 1] - Met Azure Monitor-agent kunt u alle Exchange-auditgebeurtenissen streamen vanaf de Windows-machines die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit wordt gebruikt door Microsoft Exchange-beveiligingswerkmappen om beveiligings-inzichten te bieden in uw on-premises Exchange-omgeving
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Event |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft om gegevens van niet-Azure VM's te verzamelen, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 1 van de wiki.
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers de Azure Arc-agent implementeert Meer informatie
2. [Optie 1] MS Exchange Management Log Collection - MS Exchange Beheer Gebeurtenislogboeken controleren op regels voor gegevensverzameling
De ms Exchange Beheer auditgebeurtenislogboeken worden verzameld met behulp van regels voor gegevensverzameling (DCR) en maken het mogelijk om alle beheer-cmdlets op te slaan die worden uitgevoerd in een Exchange-omgeving.
DCR
Implementatie van regels voor gegevensverzameling
Regel voor gegevensverzameling inschakelen Microsoft Exchange Beheer Auditgebeurtenissenlogboeken worden alleen verzameld van Windows-agents.
Optie 1: Azure Resource Manager sjabloon (ARM) (voorkeur)
Gebruik deze methode voor geautomatiseerde implementatie van de DCR.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimtenaam 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCR maken, gebeurtenislogboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in, selecteer Windows als platformtype en geef een naam aan de DCR.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in Verzamelen en leveren een gegevensbrontype 'Windows-gebeurtenislogboeken' toe en selecteer de optie Aangepast, voer 'MSExchange Management' in als expressie en Voeg het toe.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Parsers worden automatisch geïmplementeerd met de oplossing. Volg de stappen om de Kusto Functions-alias te maken: ExchangeAdminAuditLogs
Parsers worden automatisch geïmplementeerd tijdens de implementatie van de oplossing. Als u handmatig wilt implementeren, volgt u de onderstaande stappen
Handmatige parserimplementatie
1. Het parserbestand downloaden
De nieuwste versie van het bestand ExchangeAdminAuditLogs
2. De functie Parser ExchangeAdminAuditLogs maken
Kopieer in logboekverkenner van de log analytics van uw Microsoft Sentinel de inhoud van het bestand naar Log Explorer
3. De functie Parser ExchangeAdminAuditLogs opslaan
Klik op de knop Opslaan. Er is geen parameter nodig voor deze parser. Klik nogmaals op Opslaan.
Microsoft Exchange HTTP-proxylogboeken
Ondersteund door:Community
[Optie 7] - Met Azure Agent bewaken: u kunt HTTP-proxylogboeken en beveiligingsgebeurtenislogboeken streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u aangepaste waarschuwingen maken en het onderzoek verbeteren. Meer informatie
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ExchangeHttpProxy_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft: Azure Log Analytics wordt afgeschaft om gegevens te verzamelen van niet-Azure VM's, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 7 van de wiki.
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers de Azure Arc-agent implementeert Meer informatie
2. [Optie 7] HTTP-proxy van Exchange-servers
Http-proxy van Exchange-servers streamen
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
Regel voor gegevensverzameling inschakelen Berichten bijhouden worden alleen verzameld van Windows-agents .
Optie 1: arm-sjabloon (Azure Resource Manager) (voorkeursmethode)
Gebruik deze methode voor geautomatiseerde implementatie van de DCE en DCR.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
U kunt de voorgestelde naam van de DCE wijzigen.
Klik op Maken om te implementeren.
B. Regel voor gegevensverbinding implementeren
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
Aangepaste tabel maken - uitleg
De aangepaste tabel kan niet worden gemaakt met behulp van de Azure Portal. U moet een ARM-sjabloon, een PowerShell-script of een andere methode gebruiken die hier wordt beschreven.
Aangepaste tabel maken met behulp van een ARM-sjabloon
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep, de locatie en de naam van de analytische werkruimte.
Klik op Maken om te implementeren.
Aangepaste tabel maken met PowerShell in Cloud Shell
- Open vanuit de Azure Portal een Cloud Shell.
- Kopieer en plak en voer het volgende script uit in de Cloud Shell om de tabel te maken. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } ] } ' @
- Kopieer, vervang, plak en voer de volgende parameters uit met uw eigen waarden: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
- Voer de volgende cmdlet uit om de tabel te maken: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
- Navigeer vanuit de Azure Portal naar Azure Eindpunt voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in en geef de DCE een naam.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. Een DCR maken, aangepast logboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik op de knop Maken.
- Vul op het tabblad Basisinformatie de naam van de regel in, zoals DCR-Option7-HTTPProxyLogs, selecteer het eindpunt voor gegevensverzameling met het eerder gemaakte eindpunt en vul andere parameters in.
- Voeg op het tabblad Resources uw Exchange-servers toe.
- Voeg in Verzamelen en leveren het gegevensbrontype Aangepaste tekstlogboeken toe en voer het volgende bestandspatroon in: 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
- Plaats 'ExchangeHttpProxy_CL' in Tabelnaam.
- Voer in het veld Transformatie de volgende KQL-aanvraag in: bron | extend d = split(RawData;';') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostring(d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d [17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[24]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes=tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[42]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring(d[44]) 45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency=tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53]) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime en klik op 'Destination'.
- Voeg in Doel een bestemming toe en selecteer de werkruimte waarin u eerder de aangepaste tabel hebt gemaakt
- Klik op Gegevensbron toevoegen.
- Vul andere vereiste parameters en tags in en maak de DCR
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Microsoft Exchange-logboeken en -gebeurtenissen
Ondersteund door:Community
[Optie 2] - Met Azure Monitor-agent: u kunt alle gebeurtenislogboeken van Exchange Security &-toepassing streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u aangepaste waarschuwingen maken en het onderzoek verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Event |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft: Azure Log Analytics wordt afgeschaft om gegevens te verzamelen van niet-Azure VM's, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 2 van de wiki.
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers de Azure Arc-agent implementeert Meer informatie
2. [Optie 2] Beveiligings-/toepassings-/systeemlogboeken van Exchange-servers
De beveiligings-/toepassings-/systeemlogboeken van Exchange-servers worden verzameld met behulp van regels voor gegevensverzameling (DCR).
Verzameling beveiligingslogboeken
Regels voor gegevensverzameling - Logboeken voor beveiligingsgebeurtenissen
Gegevensverzamelingsregel inschakelen voor beveiligingslogboeken Logboeken beveiligings gebeurtenissen worden alleen verzameld van Windows-agents .
- Exchange-servers toevoegen op het tabblad Resources .
- Beveiligingslogboekniveau selecteren
Gemeenschappelijk niveau is het minimaal vereiste niveau. Selecteer 'Algemene' of 'Alle beveiligingsevenementen' in DCR-definitie.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Toepassings- en systeemlogboekverzameling
Regel voor gegevensverzameling inschakelen
Logboeken van toepassings- en systeemevenementen worden alleen verzameld van Windows-agents .
Optie 1: Azure Resource Manager -sjabloon (ARM) (voorkeursmethode)
Gebruik deze methode voor geautomatiseerde implementatie van de DCR.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimtenaam 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCR maken, gebeurtenislogboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in, selecteer Windows als platformtype en geef een naam aan de DCR.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in Verzamelen en leveren een gegevensbrontype 'Windows-gebeurtenislogboeken' toe en selecteer de optie Basic.
- Voor Toepassing selecteert u 'Kritiek', 'Fout' en 'Waarschuwing'. Selecteer kritiek/fout/waarschuwing/informatie bij Systeem.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Microsoft Exchange-logboeken voor het bijhouden van berichten
Ondersteund door:Community
[Optie 6] - Met Azure Monitor-agent kunt u alle Exchange-berichten bijhouden streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Deze logboeken kunnen worden gebruikt om de stroom van berichten in uw Exchange-omgeving bij te houden. Deze gegevensconnector is gebaseerd op optie 6 van de Microsoft Exchange Security-wiki.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MessageTrackingLog_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft: Azure Log Analytics wordt afgeschaft om gegevens te verzamelen van niet-Azure VM's, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
Deze gegevensconnector is de optie 6 van de wiki.
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers de Azure Arc-agent implementeert Meer informatie
2. Berichten bijhouden van Exchange-servers
Selecteren hoe u berichten bijhouden van Exchange-servers wilt streamen
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
Regel voor gegevensverzameling inschakelen Berichten bijhouden worden alleen verzameld van Windows-agents .
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DCE en DCR.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
U kunt de voorgestelde naam van de DCE wijzigen.
Klik op Maken om te implementeren.
B. Gegevensverbindingsregel en aangepaste tabel implementeren
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
Aangepaste tabel maken - uitleg
De aangepaste tabel kan niet worden gemaakt met behulp van de Azure Portal. U moet een ARM-sjabloon, een PowerShell-script of een andere methode gebruiken die hier wordt beschreven.
Aangepaste tabel maken met behulp van een ARM-sjabloon
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep, de locatie en de naam van de analytische werkruimte.
Klik op Maken om te implementeren.
Aangepaste tabel maken met PowerShell in Cloud Shell
- Open vanuit de Azure Portal een Cloud Shell.
- Kopieer en plak en voer het volgende script uit in de Cloud Shell om de tabel te maken. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "string" }, { "name": "string": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } ] } } } ' @
- Kopieer, vervang, plak en voer de volgende parameters uit met uw eigen waarden: $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
- Voer de volgende cmdlet uit om de tabel te maken: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
- Navigeer vanuit de Azure Portal naar Azure Eindpunt voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basis de vereiste velden in en geef een naam aan de DCE, zoals ESI-ExchangeServers.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. Een DCR maken, aangepast logboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik op de knop Maken.
- Vul op het tabblad Basisinformatie de naam van de regel in, zoals DCR-Option6-MessageTrackingLogs, selecteer het eindpunt voor gegevensverzameling met het eerder gemaakte eindpunt en vul andere parameters in.
- Voeg op het tabblad Resources uw Exchange-servers toe.
- Voeg in Verzamelen en leveren het gegevensbrontype Aangepaste tekstlogboeken toe en voer 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log' in het bestandspatroon in, 'MessageTrackingLog_CL' in Tabelnaam. 6.in veld Transformeren voert u de volgende KQL-aanvraag in: bron | extend d = split(RawData;';') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d[3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,sourceContext=tostring(d[6]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) , source =tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d[24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData en klik op 'Destination'.
- Voeg in Doel een bestemming toe en selecteer de werkruimte waarin u eerder de aangepaste tabel hebt gemaakt
- Klik op Gegevensbron toevoegen.
- Vul andere vereiste parameters en tags in en maak de DCR
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Microsoft Power Automate
Ondersteund door:Microsoft Corporation
Power Automate is een Microsoft-service waarmee gebruikers geautomatiseerde werkstromen tussen apps en services kunnen maken om bestanden te synchroniseren, meldingen te ontvangen, gegevens te verzamelen en meer. Het vereenvoudigt taakautomatisering, verhoogt de efficiëntie door handmatige, terugkerende taken te verminderen en de productiviteit te verbeteren. De Power Automate-gegevensconnector biedt de mogelijkheid om Power Automate-activiteitenlogboeken op te nemen uit de Microsoft Purview-controle aanmelden bij Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PowerAutomateActivity |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Tenantmachtigingen: 'Beveiligingsbeheerder' of 'Globale beheerder' voor de tenant van de werkruimte.
- Micorosft Purview Audit: Microsoft Purview-controle (Standard of Premium) moet worden geactiveerd.
Installatie-instructies:
Microsoft Power Automate auditlogboeken verbinden met Microsoft Sentinel
Deze connector maakt gebruik van de Office Management-API om uw Power Automate-auditlogboeken op te halen. De logboeken worden opgeslagen en verwerkt in uw bestaande Microsoft Sentinel werkruimte. U vindt de gegevens in de tabel PowerAutomateActivity .
- Verbinding in-/uitschakelen
Microsoft Power Platform Beheer-activiteit
Ondersteund door:Microsoft Corporation
Microsoft Power Platform is een suite met weinig code/code zonder code waarmee zowel professionele als professionele ontwikkelaars bedrijfsprocessen kunnen stroomlijnen door het maken van aangepaste apps, automatisering van werkstromen en gegevensanalyse met minimale codering mogelijk te maken. De Power Platform Beheer-gegevensconnector biedt de mogelijkheid om activiteitenlogboeken van Power Platform-beheerders op te nemen uit de Microsoft Purview-controle aanmelden bij Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PowerPlatformAdminActivity |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Tenantmachtigingen: 'Beveiligingsbeheerder' of 'Globale beheerder' voor de tenant van de werkruimte.
- Micorosft Purview Audit: Microsoft Purview-controle (Standard of Premium) moet worden geactiveerd.
Installatie-instructies:
Auditlogboeken van Microsoft Power Platform Beheer-activiteiten verbinden met Microsoft Sentinel
Deze connector maakt gebruik van de Office Management-API om de auditlogboeken van uw Power Platform-beheerder op te halen. De logboeken worden opgeslagen en verwerkt in uw bestaande Microsoft Sentinel werkruimte. U vindt de gegevens in de tabel PowerPlatformAdminActivity .
- Verbinding in-/uitschakelen
Microsoft PowerBI
Ondersteund door:Microsoft Corporation
Microsoft PowerBI is een verzameling softwareservices, apps en connectors die samenwerken om uw niet-gerelateerde gegevensbronnen om te zetten in coherente, visueel meeslepende en interactieve inzichten. Uw gegevens kunnen een Excel-spreadsheet zijn, een verzameling cloudgebaseerde en on-premises hybride datawarehouses of een gegevensarchief van een ander type. Met deze connector kunt u PowerBI-auditlogboeken streamen naar Microsoft Sentinel, zodat u gebruikersactiviteiten in uw PowerBI-omgeving kunt bijhouden. U kunt de controlegegevens filteren op datumbereik, gebruiker, dashboard, rapport, gegevensset en activiteitstype.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PowerBIActivity |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Project
Ondersteund door:Microsoft
Microsoft Project (MSP) is een softwareoplossing voor projectbeheer. Afhankelijk van uw plan kunt u met Microsoft Project projecten plannen, taken toewijzen, resources beheren, rapporten maken en meer. Met deze connector kunt u uw Azure Project-auditlogboeken streamen naar Microsoft Sentinel om uw projectactiviteiten bij te houden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ProjectActivity |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Microsoft Purview
Ondersteund door:Microsoft Corporation
Maak verbinding met Microsoft Purview om verrijking van gegevensgevoeligheid van Microsoft Sentinel in te schakelen. Logboeken voor gegevensclassificatie en vertrouwelijkheidslabels van Microsoft Purview-scans kunnen worden opgenomen en gevisualiseerd via werkmappen, analytische regels en meer. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PurviewDataSensitivityLogs |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Microsoft Purview verbinden met Microsoft Sentinel
Navigeer in de Azure Portal naar uw Purview-resource:
- Zoek in de zoekbalk naar Purview-accounts.
- Selecteer het specifieke account dat u wilt instellen met Sentinel.
In uw Microsoft Purview-resource: 3. Selecteer Diagnostische instellingen. 4. Selecteer + Diagnostische instelling toevoegen. 5. Op de blade Diagnostische instelling :
- Selecteer de logboekcategorie als DataSensitivityLogEvent.
- Selecteer Verzenden naar Log Analytics.
- Kies de werkruimte voor het logboekdoel. Dit moet dezelfde werkruimte zijn die wordt gebruikt door Microsoft Sentinel.
- Klik op Opslaan.
Microsoft Purview Informatiebeveiliging
Ondersteund door:Microsoft Corporation
Microsoft Purview Informatiebeveiliging helpt u gevoelige informatie te ontdekken, classificeren, beveiligen en beheren, waar deze zich ook bevindt of reist. Met deze mogelijkheden kunt u uw gegevens kennen, gevoelige items identificeren en inzicht krijgen in hoe ze worden gebruikt om uw gegevens beter te beveiligen. Vertrouwelijkheidslabels zijn de basismogelijkheid die beveiligingsacties biedt, waarbij versleuteling, toegangsbeperkingen en visuele markeringen worden toegepast. Integreer Microsoft Purview Informatiebeveiliging logboeken met Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en onderzoek te verbeteren. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MicrosoftPurviewInformationProtection |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Mimecast-audit
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Audit biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot audit- en verificatiegebeurtenissen binnen Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in gebruikersactiviteiten, incidentcorrelatie kunnen helpen en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden.
De Mimecast-producten in de connector zijn: Audit
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Audit_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: zie de documentatie voor meer informatie over API in de Rest API-verwijzing
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast-API-connector implementeert, moet u de Mimecast-API-autorisatiesleutel(s) of token direct beschikbaar hebben.
STAP 3: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 4: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van TenableVM-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 5: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
Implementeer de Mimecast Audit Data Connector:
Gebruik deze methode voor geautomatiseerde implementatie van de Mimecast Audit Data-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de onderstaande gegevens in:
a. Locatie: de locatie waarop de regels voor gegevensverzameling en eindpunten voor gegevensverzameling moeten worden geïmplementeerd
b. WorkspaceName - Voer Microsoft Sentinel Werkruimtenaam van Log Analytics-werkruimte in
c. AzureClientID: voer Azure client-id in die u tijdens de app-registratie hebt gemaakt
d. AzureClientSecret : voer Azure clientgeheim in dat u hebt gemaakt tijdens het maken van het clientgeheim
e. AzureTenantID: voer Azure tenant-id van uw Azure Active Directory in
f. AzureEntraObjectID - Object-id van uw Microsoft Entra-app invoeren
G. MimecastBaseURL - Voer de basis-URL van Mimecast-API 2.0 in (bijvoorbeeld https://api.services.mimecast.com)
H. MimecastClientID - Voer de Mimecast-client-id in voor verificatie
i. MimecastClientSecret - Voer mimecast-clientgeheim in voor verificatie
J. MimecastAuditTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van auditgegevens. De standaardwaarde is 'Controle'
K. StartDate: voer de begindatum in de notatie 'jjjj-mm-dd' in. Als u geen datum opgeeft, worden gegevens van de afgelopen 60 dagen automatisch opgehaald. Zorg ervoor dat de datum in het verleden en de juiste opmaak heeft
L. Planning: voer een geldige Quartz cron-expressie in. (Voorbeeld: 0 0 */1 * * *) Houd de waarde niet leeg, minimumwaarde is 10 minuten
M. LogLevel: voeg een waarde voor logboekniveau of ernst van het logboek toe. Standaard is dit ingesteld op INFO
N. AppInsightsWorkspaceResourceId : klassieke Application Insights migreren naar Log Analytics Workspace die uiterlijk 29 februari 2024 wordt buiten gebruik gesteld. Gebruik de blade Log Analytics->-Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Mimecast Audit & Authentication (met behulp van Azure Functions)
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Audit & Authentication biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot audit- en verificatiegebeurtenissen binnen Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in gebruikersactiviteiten, incidentcorrelatie kunnen helpen en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden.
De Mimecast-producten in de connector zijn: Audit & Authentication
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MimecastAudit_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Mimecast-API-referenties: u hebt de volgende gegevens nodig om de integratie te configureren:
- mimecastEmail: Email adres van een toegewezen Mimecast-beheerder
- mimecastPassword: wachtwoord voor de toegewezen Mimecast-beheerder
- mimecastAppId: API-toepassings-id van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: API-toepassingssleutel van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-beheerdergebruiker
- mimecastSecretKey: geheime sleutel voor de toegewezen Mimecast-beheerder
- mimecastBaseURL: Mimecast Regional API Base URL
De Mimecast-toepassings-id, de toepassingssleutel en de toegangssleutel en geheime sleutels voor de toegewezen Mimecast-beheerder zijn verkrijgbaar via de Mimecast-beheerconsole: Beheer | Services | API- en platformintegraties.
De mimecast-API-basis-URL voor elke regio wordt hier beschreven: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Resourcegroep: u moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
- Functions-app: u moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast API-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals de autorisatiesleutel(s) of token van de Mimecast-API direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Implementeer de Mimecast Audit & Authentication Data Connector:
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de volgende velden in:
- appName: unieke tekenreeks die wordt gebruikt als id voor de app in Azure platform
- objectId: Azure Portal ---> Azure Active Directory ---> meer informatie ---> Profiel------>-object-id
- appInsightsLocation(standaard): westeurope
- mimecastEmail: Email adres van de toegewezen gebruiker voor deze integratie
- mimecastPassword: wachtwoord voor toegewezen gebruiker
- mimecastAppId: toepassings-id van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: Toepassingssleutel van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-gebruiker
- mimecastSecretKey: geheime sleutel voor toegewezen Mimecast-gebruiker
- mimecastBaseURL: regionale Mimecast-API-basis-URL
- activeDirectoryAppId: Azure Portal ---> App-registraties ---> [your_app] ---> toepassings-id
- activeDirectoryAppSecret: Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> [your_app_secret]
- workspaceId: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> werkruimte-id (of u kunt workspaceId van bovenaf kopiëren)
- workspaceKey: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> primaire sleutel (of u kunt workspaceKey van bovenaf kopiëren)
- AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> Eigenschappen ---> Resource-id
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Ga naar Azure Portal ---> Resourcegroepen ---> [your_resource_group] ---> [appName](type: Opslagaccount) ---> Storage Explorer ---> BLOB CONTAINERS ---> Controlepunten controleren ---> Een leeg bestand met de naam checkpoint.txt uploaden en maken en selecteren om te uploaden (dit gebeurt zodat date_range voor SIEM-logboeken consistent wordt opgeslagen)
Mimecast Awareness Training
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Awareness Training biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot de targeted threat protection-inspectietechnologieën binnen Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp kunnen bieden bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden.
De Mimecast-producten in de connector zijn:
- Prestatiedetails
- Details van veilige score
- Gebruikersgegevens
- Volglijstdetails
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Awareness_Performance_Details_CL |
Ja | Ja |
Awareness_SafeScore_Details_CL |
Ja | Ja |
Awareness_User_Data_CL |
Ja | Ja |
Awareness_Watchlist_Details_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: zie de documentatie voor meer informatie over API in de Rest API-verwijzing
Installatie-instructies:
Resourcegroep
U moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
Functions-app
U moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
- object-id Entra
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van Mimecast-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 2: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van Mimecast-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van Mimecast-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 3: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
STAP 4: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast-API-connector implementeert, moet u de Mimecast-API-autorisatiesleutel(s) of token direct beschikbaar hebben.
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de connector mimecast awareness-trainingsgegevens.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de onderstaande gegevens in:
a. Locatie: de locatie waarop de regels voor gegevensverzameling en eindpunten voor gegevensverzameling moeten worden geïmplementeerd
b. WorkspaceName - Voer Microsoft Sentinel Werkruimtenaam van Log Analytics-werkruimte in
c. AzureClientID: voer Azure client-id in die u tijdens de app-registratie hebt gemaakt
d. AzureClientSecret : voer Azure clientgeheim in dat u hebt gemaakt tijdens het maken van het clientgeheim
e. AzureTenantID: voer Azure tenant-id van uw Azure Active Directory in
f. AzureEntraObjectID - Object-id van uw Microsoft Entra-app invoeren
G. MimecastBaseURL - Voer de basis-URL van Mimecast-API 2.0 in (bijvoorbeeld https://api.services.mimecast.com)
H. MimecastClientID - Voer de Mimecast-client-id in voor verificatie
i. MimecastClientSecret - Voer mimecast-clientgeheim in voor verificatie
J. MimecastAwarenessPerformanceDetailsTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van gegevens over awareness-prestaties. De standaardwaarde is 'Awareness_Performance_Details'
K. MimecastAwarenessUserDataTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van gegevens van Awareness-gebruikers. De standaardwaarde is 'Awareness_User_Data'
L. MimecastAwarenessWatchlistDetailsTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van gegevens van de Awareness Watchlist Details. De standaardwaarde is 'Awareness_Watchlist_Details'
M. MimecastAwarenessSafeScoreDetailsTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van gegevens van Awareness SafeScore Details. De standaardwaarde is 'Awareness_SafeScore_Details'
N. StartDate: voer de begindatum in de notatie 'jjjj-mm-dd' in. Als u geen datum opgeeft, worden gegevens van de afgelopen 60 dagen automatisch opgehaald. Zorg ervoor dat de datum in het verleden en de juiste opmaak heeft
O. Planning: voer een geldige Quartz cron-expressie in. (Voorbeeld: 0 0 */1 * * *) Houd de waarde niet leeg, minimumwaarde is 10 minuten
P. LogLevel: voeg een waarde voor logboekniveau of ernst van het logboek toe. Standaard is dit ingesteld op INFO
V. AppInsightsWorkspaceResourceId : klassieke Application Insights migreren naar Log Analytics Workspace die uiterlijk 29 februari 2024 wordt buiten gebruik gesteld. Gebruik de blade Log Analytics->-Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Mimecast Cloud Geïntegreerd
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Cloud Integrated biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot de cloudgeintegreerde inspectietechnologieën binnen Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp kunnen bieden bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cloud_Integrated_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: zie de documentatie voor meer informatie over API in de Rest API-verwijzing
Installatie-instructies:
Resourcegroep
U moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
Functions-app
U moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast-API-connector implementeert, moet u de Mimecast-API-autorisatiesleutel(s) of token direct beschikbaar hebben.
STAP 3: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 4: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van TenableVM-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 5: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Mimecast Cloud Integrated Data-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de onderstaande gegevens in:
a. Locatie: de locatie waarop de regels voor gegevensverzameling en eindpunten voor gegevensverzameling moeten worden geïmplementeerd
b. WorkspaceName - Voer Microsoft Sentinel Werkruimtenaam van Log Analytics-werkruimte in
c. AzureClientID: voer Azure client-id in die u tijdens de app-registratie hebt gemaakt
d. AzureClientSecret : voer Azure clientgeheim in dat u hebt gemaakt tijdens het maken van het clientgeheim
e. AzureTenantID: voer Azure tenant-id van uw Azure Active Directory in
f. AzureEntraObjectID - Object-id van uw Microsoft Entra-app invoeren
G. MimecastBaseURL - Voer de basis-URL van Mimecast-API 2.0 in (bijvoorbeeld https://api.services.mimecast.com)
H. MimecastClientID - Voer de Mimecast-client-id in voor verificatie
i. MimecastClientSecret - Voer mimecast-clientgeheim in voor verificatie
J. MimecastCITableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van cloudgeintegreerde gegevens. De standaardwaarde is 'Cloud_Integrated'
K. StartDate: voer de begindatum in de notatie 'jjjj-mm-dd' in. Als u geen datum opgeeft, worden gegevens van de afgelopen 60 dagen automatisch opgehaald. Zorg ervoor dat de datum in het verleden en de juiste opmaak heeft
L. Planning: voer een geldige Quartz cron-expressie in. (Voorbeeld: 0 0 */1 * * *) Houd de waarde niet leeg, minimumwaarde is 10 minuten
M. LogLevel: voeg een waarde voor logboekniveau of ernst van het logboek toe. Standaard is dit ingesteld op INFO
N. AppInsightsWorkspaceResourceId : klassieke Application Insights migreren naar Log Analytics Workspace die uiterlijk 29 februari 2024 wordt buiten gebruik gesteld. Gebruik de blade Log Analytics->-Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Mimecast Intelligence voor Microsoft - Microsoft Sentinel (met behulp van Azure Functions)
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Intelligence voor Microsoft biedt regionale bedreigingsinformatie die is samengesteld op basis van de e-mailinspectietechnologieën van Mimecast met vooraf gemaakte dashboards, zodat analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, kunnen helpen bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen.
Mimecast-producten en -functies vereist:
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Mimecast-API-referenties: u hebt de volgende gegevens nodig om de integratie te configureren:
- mimecastEmail: Email adres van een toegewezen Mimecast-beheerder
- mimecastPassword: wachtwoord voor de toegewezen Mimecast-beheerder
- mimecastAppId: API-toepassings-id van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: API-toepassingssleutel van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-beheerdergebruiker
- mimecastSecretKey: geheime sleutel voor de toegewezen Mimecast-beheerder
- mimecastBaseURL: Mimecast Regional API Base URL
De Mimecast-toepassings-id, de toepassingssleutel en de toegangssleutel en geheime sleutels voor de toegewezen Mimecast-beheerder zijn verkrijgbaar via de Mimecast-beheerconsole: Beheer | Services | API- en platformintegraties.
De mimecast-API-basis-URL voor elke regio wordt hier beschreven: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Resourcegroep: u moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
- Functions-app: u moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast API-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals de autorisatiesleutel(s) of token van de Mimecast-API direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Mimecast Intelligence voor Microsoft inschakelen - Microsoft Sentinel Connector:
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de volgende velden in:
- appName: unieke tekenreeks die wordt gebruikt als id voor de app in Azure platform
- objectId: Azure Portal ---> Azure Active Directory ---> meer informatie ---> Profiel------>-object-id
- appInsightsLocation(standaard): westeurope
- mimecastEmail: Email adres van de toegewezen gebruiker voor deze integratie
- mimecastPassword: wachtwoord voor toegewezen gebruiker
- mimecastAppId: toepassings-id van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: Toepassingssleutel van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-gebruiker
- mimecastSecretKey: geheime sleutel voor toegewezen Mimecast-gebruiker
- mimecastBaseURL: regionale Mimecast-API-basis-URL
- activeDirectoryAppId: Azure Portal ---> App-registraties ---> [your_app] ---> toepassings-id
- activeDirectoryAppSecret: Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> [your_app_secret]
- workspaceId: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> werkruimte-id (of u kunt workspaceId van bovenaf kopiëren)
- workspaceKey: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> primaire sleutel (of u kunt workspaceKey van bovenaf kopiëren)
- AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> Eigenschappen ---> Resource-id
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Ga naar Azure Portal ---> Resourcegroepen ---> [your_resource_group] ---> [appName](type: Opslagaccount) ---> Storage Explorer ---> BLOB CONTAINERS ---> TIR-controlepunten ---> Een leeg bestand met de naam checkpoint.txt uploaden en maken en selecteer dit bestand om te uploaden (dit gebeurt zodat date_range voor TIR-logboeken consistent wordt opgeslagen)
Aanvullende configuratie:
Verbinding maken met een Threat Intelligence Platforms-gegevensconnector. Volg de instructies op de connectorpagina en klik vervolgens op de knop Verbinding maken.
Mimecast Secure Email Gateway
Ondersteund door:Mimecast
Met de gegevensconnector voor Mimecast Secure Email Gateway kunt u eenvoudig logboeken verzamelen van de Secure Email Gateway om inzicht in e-mail en gebruikersactiviteit binnen Microsoft Sentinel te verkrijgen. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp kunnen bieden bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden. Mimecast-producten en -functies vereist:
- Mimecast Cloud Gateway
- Mimecast-preventie van gegevenslekken
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Seg_Cg_CL |
Ja | Ja |
Seg_Dlp_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: zie de documentatie voor meer informatie over API in de Rest API-verwijzing
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
**STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast-API-connector implementeert, moet u de Mimecast-API-autorisatiesleutel(s) of token direct beschikbaar hebben.
STAP 3: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 4: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van TenableVM-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 5: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
Implementeer de Mimecast Secure Email Gateway Data Connector:
Gebruik deze methode voor geautomatiseerde implementatie van de Mimecast Secure Email Gateway Data Connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de onderstaande gegevens in:
a. Locatie: de locatie waarop de regels voor gegevensverzameling en eindpunten voor gegevensverzameling moeten worden geïmplementeerd
b. WorkspaceName - Voer Microsoft Sentinel Werkruimtenaam van Log Analytics-werkruimte in
c. AzureClientID: voer Azure client-id in die u tijdens de app-registratie hebt gemaakt
d. AzureClientSecret : voer Azure clientgeheim in dat u hebt gemaakt tijdens het maken van het clientgeheim
e. AzureTenantID: voer Azure tenant-id van uw Azure Active Directory in
f. AzureEntraObjectID - Object-id van uw Microsoft Entra-app invoeren
G. MimecastBaseURL - Voer de basis-URL van Mimecast-API 2.0 in (bijvoorbeeld https://api.services.mimecast.com)
H. MimecastClientID - Voer de Mimecast-client-id in voor verificatie
i. MimecastClientSecret - Voer mimecast-clientgeheim in voor verificatie
J. MimecastCGTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van CG-gegevens. De standaardwaarde is 'Seg_Cg'
K. MimecastDLPTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van DLP-gegevens. De standaardwaarde is 'Seg_Dlp'
L. StartDate: voer de begindatum in de notatie 'jjjj-mm-dd' in. Als u geen datum opgeeft, worden gegevens van de afgelopen 60 dagen automatisch opgehaald. Zorg ervoor dat de datum in het verleden en de juiste opmaak heeft
M. Planning: voer een geldige Quartz cron-expressie in. (Voorbeeld: 0 0 */1 * * *) Houd de waarde niet leeg, minimumwaarde is 10 minuten
N. LogLevel: voeg een waarde voor logboekniveau of ernst van het logboek toe. Standaard is dit ingesteld op INFO
O. AppInsightsWorkspaceResourceId : klassieke Application Insights migreren naar Log Analytics Workspace die uiterlijk 29 februari 2024 wordt buiten gebruik gesteld. Gebruik de blade Log Analytics->-Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Mimecast Secure Email Gateway (met behulp van Azure Functions)
Ondersteund door:Mimecast
Met de gegevensconnector voor Mimecast Secure Email Gateway kunt u eenvoudig logboeken verzamelen van de Secure Email Gateway om inzicht in e-mail en gebruikersactiviteit binnen Microsoft Sentinel te verkrijgen. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp kunnen bieden bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden. Mimecast-producten en -functies vereist:
- Mimecast Secure Email Gateway
- Mimecast-preventie van gegevenslekken
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MimecastSIEM_CL |
Nee | Nee |
MimecastDLP_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Mimecast-API-referenties: u hebt de volgende gegevens nodig om de integratie te configureren:
- mimecastEmail: Email adres van een toegewezen Mimecast-beheerder
- mimecastPassword: wachtwoord voor de toegewezen Mimecast-beheerder
- mimecastAppId: API-toepassings-id van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: API-toepassingssleutel van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-beheerdergebruiker
- mimecastSecretKey: geheime sleutel voor de toegewezen Mimecast-beheerder
- mimecastBaseURL: Mimecast Regional API Base URL
De Mimecast-toepassings-id, de toepassingssleutel en de toegangssleutel en geheime sleutels voor de toegewezen Mimecast-beheerder zijn verkrijgbaar via de Mimecast-beheerconsole: Beheer | Services | API- en platformintegraties.
De mimecast-API-basis-URL voor elke regio wordt hier beschreven: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Resourcegroep: u moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
- Functions-app: u moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast API-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals de autorisatiesleutel(s) of token van de Mimecast-API direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Implementeer de Mimecast Secure Email Gateway Data Connector:
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de volgende velden in:
- appName: unieke tekenreeks die wordt gebruikt als id voor de app in Azure platform
- objectId: Azure Portal ---> Azure Active Directory ---> meer informatie ---> Profiel------>-object-id
- appInsightsLocation(standaard): westeurope
- mimecastEmail: Email adres van de toegewezen gebruiker voor deze integratie
- mimecastPassword: wachtwoord voor toegewezen gebruiker
- mimecastAppId: toepassings-id van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: Toepassingssleutel van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-gebruiker
- mimecastSecretKey: geheime sleutel voor toegewezen Mimecast-gebruiker
- mimecastBaseURL: regionale Mimecast-API-basis-URL
- activeDirectoryAppId: Azure Portal ---> App-registraties ---> [your_app] ---> toepassings-id
- activeDirectoryAppSecret: Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> [your_app_secret]
- workspaceId: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> werkruimte-id (of u kunt workspaceId van bovenaf kopiëren)
- workspaceKey: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> primaire sleutel (of u kunt workspaceKey van bovenaf kopiëren)
- AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> Eigenschappen ---> Resource-id
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Ga naar Azure Portal ---> Resourcegroepen ---> [your_resource_group] ---> [appName](type: Opslagaccount) ---> Storage Explorer ---> BLOB CONTAINERS ---> SIEM-controlepunten ---> Een leeg bestand met de naam checkpoint.txt uploaden en maken, dlp-checkpoint.txt en selecteer dit bestand om te uploaden (dit gebeurt zodat date_range voor SIEM-logboeken consistent wordt opgeslagen)
Mimecast Targeted Threat Protection
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Targeted Threat Protection biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot de targeted threat protection-inspectietechnologieën binnen Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp kunnen bieden bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden.
De Mimecast-producten in de connector zijn:
- URL-beveiliging
- Imitatie beveiligen
- Bijlage beveiligen
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Ttp_Url_CL |
Ja | Ja |
Ttp_Attachment_CL |
Ja | Ja |
Ttp_Impersonation_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: zie de documentatie voor meer informatie over API in de Rest API-verwijzing
Installatie-instructies:
Resourcegroep
U moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
Functions-app
U moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van Mimecast-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 2: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van Mimecast-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van Mimecast-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 3: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
STAP 4: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast-API-connector implementeert, moet u de Mimecast-API-autorisatiesleutel(s) of token direct beschikbaar hebben.
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Mimecast Targeted Threat Protection Data-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
Voer de onderstaande gegevens in:
a. Locatie: de locatie waarop de regels voor gegevensverzameling en eindpunten voor gegevensverzameling moeten worden geïmplementeerd
b. WorkspaceName - Voer Microsoft Sentinel Werkruimtenaam van Log Analytics-werkruimte in
c. AzureClientID: voer Azure client-id in die u tijdens de app-registratie hebt gemaakt
d. AzureClientSecret : voer Azure clientgeheim in dat u hebt gemaakt tijdens het maken van het clientgeheim
e. AzureTenantID: voer Azure tenant-id van uw Azure Active Directory in
f. AzureEntraObjectID - Object-id van uw Microsoft Entra-app invoeren
G. MimecastBaseURL - Voer de basis-URL van Mimecast-API 2.0 in (bijvoorbeeld https://api.services.mimecast.com)
H. MimecastClientID - Voer de Mimecast-client-id in voor verificatie
i. MimecastClientSecret - Voer mimecast-clientgeheim in voor verificatie
J. StartDate: voer de begindatum in de notatie 'jjjj-mm-dd' in. Als u geen datum opgeeft, worden gegevens van de afgelopen 60 dagen automatisch opgehaald. Zorg ervoor dat de datum in het verleden en de juiste opmaak heeft
K. MimecastTTPAttachmentTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van TTP-bijlagegegevens. De standaardwaarde is 'Ttp_Attachment'
L. MimecastTTPImpersonationTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van TTP-imitatiegegevens. De standaardwaarde is 'Ttp_Impersonation'
M. MimecastTTPUrlTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van TTP-bijlagegegevens. De standaardwaarde is 'Ttp_Url'
N. Planning: voer een geldige Quartz cron-expressie in. (Voorbeeld: 0 0 */1 * * *) Houd de waarde niet leeg, minimumwaarde is 10 minuten
L. LogLevel: voeg een waarde voor logboekniveau of ernst van het logboek toe. Standaard is dit ingesteld op INFO
O. AppInsightsWorkspaceResourceId : klassieke Application Insights migreren naar Log Analytics Workspace die uiterlijk 29 februari 2024 wordt buiten gebruik gesteld. Gebruik de blade Log Analytics->-Properties met de eigenschap 'Resource-id'. Dit is een volledig gekwalificeerde resourceId met de indeling '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Mimecast Targeted Threat Protection (met behulp van Azure Functions)
Ondersteund door:Mimecast
De gegevensconnector voor Mimecast Targeted Threat Protection biedt klanten inzicht in beveiligingsgebeurtenissen met betrekking tot de targeted threat protection-inspectietechnologieën binnen Microsoft Sentinel. De gegevensconnector biedt vooraf gemaakte dashboards waarmee analisten inzicht kunnen krijgen in bedreigingen op basis van e-mail, hulp kunnen bieden bij incidentcorrelatie en de reactietijden voor onderzoek kunnen verminderen in combinatie met aangepaste waarschuwingsmogelijkheden.
De Mimecast-producten in de connector zijn:
- URL-beveiliging
- Imitatie beveiligen
- Bijlage beveiligen
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MimecastTTPUrl_CL |
Nee | Nee |
MimecastTTPAttachment_CL |
Nee | Nee |
MimecastTTPImpersonation_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: u hebt de volgende gegevens nodig om de integratie te configureren:
- mimecastEmail: Email adres van een toegewezen Mimecast-beheerder
- mimecastPassword: wachtwoord voor de toegewezen Mimecast-beheerder
- mimecastAppId: API-toepassings-id van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: API-toepassingssleutel van de Mimecast Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-beheerdergebruiker
- mimecastSecretKey: geheime sleutel voor de toegewezen Mimecast-beheerder
- mimecastBaseURL: Mimecast Regional API Base URL
De Mimecast-toepassings-id, de toepassingssleutel en de toegangssleutel en geheime sleutels voor de toegewezen Mimecast-beheerder zijn verkrijgbaar via de Mimecast-beheerconsole: Beheer | Services | API- en platformintegraties.
De mimecast-API-basis-URL voor elke regio wordt hier beschreven: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
Installatie-instructies:
Resourcegroep
U moet een resourcegroep hebben gemaakt met een abonnement dat u gaat gebruiken.
Functions-app
U moet een Azure-app geregistreerd hebben om deze connector te kunnen gebruiken
- Toepassings-id
- Tenant-id
- Client-id
- Clientgeheim
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met een Mimecast-API om de logboeken naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Configuratie:
STAP 1: configuratiestappen voor de Mimecast-API
Ga naar Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> Nieuw clientgeheim en maak een nieuw geheim (sla de waarde direct op een veilige locatie op omdat u deze later niet meer kunt bekijken)
STAP 2: Mimecast API-connector implementeren
BELANGRIJK: Voordat u de Mimecast API-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals de autorisatiesleutel(s) of token van de Mimecast-API direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Implementeer de Mimecast Targeted Threat Protection Data Connector:
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de volgende velden in:
- appName: unieke tekenreeks die wordt gebruikt als id voor de app in Azure platform
- objectId: Azure Portal ---> Azure Active Directory ---> meer informatie ---> Profiel------>-object-id
- appInsightsLocation(standaard): westeurope
- mimecastEmail: Email adres van de toegewezen gebruiker voor deze integratie
- mimecastPassword: wachtwoord voor toegewezen gebruiker
- mimecastAppId: toepassings-id van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAppKey: Toepassingssleutel van de Microsoft Sentinel-app die is geregistreerd bij Mimecast
- mimecastAccessKey: Toegangssleutel voor de toegewezen Mimecast-gebruiker
- mimecastSecretKey: geheime sleutel voor toegewezen Mimecast-gebruiker
- mimecastBaseURL: regionale Mimecast-API-basis-URL
- activeDirectoryAppId: Azure Portal ---> App-registraties ---> [your_app] ---> toepassings-id
- activeDirectoryAppSecret: Azure Portal ---> App-registraties ---> [your_app] ---> Certificaten & geheimen ---> [your_app_secret]
- workspaceId: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> werkruimte-id (of u kunt workspaceId van bovenaf kopiëren)
- workspaceKey: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> agents ---> primaire sleutel (of u kunt workspaceKey van bovenaf kopiëren)
- AppInsightsWorkspaceResourceID: Azure Portal ---> Log Analytics-werkruimten ---> [Uw werkruimte] ---> Eigenschappen ---> Resource-id
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Ga naar Azure Portal ---> Resourcegroepen ---> [your_resource_group] ---> [appName](type: Opslagaccount) ---> Storage Explorer ---> BLOB CONTAINERS ---> TTP-controlepunten ---> Lege bestanden uploaden en maken op uw computer met de naam attachment-checkpoint.txt, impersonation-checkpoint.txt url-checkpoint.txt en selecteer deze om te uploaden (dit gebeurt zodat date_range voor TTP-logboeken consistent worden opgeslagen)
MISP2Sentinel
Ondersteund door:Community
Deze oplossing installeert de MISP2Sentinel-connector waarmee u bedreigingsindicatoren automatisch van MISP naar Microsoft Sentinel kunt pushen via de REST API voor uploadindicatoren. Nadat u de oplossing hebt geïnstalleerd, configureert en schakelt u deze gegevensconnector in door de richtlijnen te volgen in de weergave Oplossing beheren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Installatie- en installatie-instructies
Gebruik de documentatie van deze GitHub-opslagplaats om de MISP te installeren en configureren voor Microsoft Sentinel-connector:
https://github.com/cudeso/misp2sentinel
MongoDB Atlas-logboeken
Ondersteund door:MongoDB
De MongoDBAtlas Logs-connector biedt de mogelijkheid om MongoDB Atlas-databaselogboeken te uploaden naar Microsoft Sentinel via de MongoDB Atlas Administration-API. Raadpleeg de API-documentatie voor meer informatie. De connector biedt de mogelijkheid om een reeks databaselogboekberichten op te halen voor de opgegeven hosts en het opgegeven project.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MDBALogTable_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: De client-id en het clientgeheim van het MongoDB Atlas-serviceaccount zijn vereist. Zie Een serviceaccount maken voor meer informatie
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met 'MongoDB Atlas' om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Zorg ervoor dat de werkruimte is toegevoegd aan Microsoft Sentinel voordat u de connector implementeert.
STAP 1: configuratiestappen voor de 'MongoDB Atlas Administration API'
- Volg deze instructies om een MongoDB Atlas-serviceaccount te maken.
- Kopieer de client-id en het clientgeheim die u hebt gemaakt, ook de groeps-id (project) en elke cluster-id (hostnaam) die vereist zijn voor latere stappen.
- Raadpleeg mongoDB Atlas API-documentatie voor meer informatie.
- Het clientgeheim kan worden doorgegeven aan de connector via een Azure sleutelkluis of rechtstreeks in de connector.
- Als u de sleutelkluisoptie wilt gebruiken, maakt u een sleutelkluis met behulp van een kluistoegangsbeleid, met een geheim met de naam mongodb-client-secret en uw clientgeheim opgeslagen als de geheime waarde.
STAP 2: de connector 'MongoDB Atlas Logs' en de bijbehorende Azure-functie implementeren
Klik hieronder op de knop Implementeren naar Azure.
STAP 3: de connectorparameters instellen
- Selecteer het voorkeursabonnement en een bestaande resourcegroep.
- Voer een bestaande Resource-id van de Log Analytics-werkruimte in die bij de resourcegroep hoort.
- Klik op Volgende
- Voer de MongoDB-groeps-id in, een lijst met maximaal 10 MongoDB-cluster-id's, elk op een afzonderlijke regel, en mongoDB-client-id.
- Kies voor Verificatiemethode clientgeheim en kopieer in de waarde van uw clientgeheim of Key Vault en kopieer in de naam van uw sleutelkluis. Klik op Volgende
- Controleer de MongoDB-filters. Selecteer logboeken uit ten minste één categorie. Klik op Volgende
- Bekijk de planning. Klik op Volgende
- Controleer de instellingen en klik vervolgens op Maken.
MuleSoft Cloudhub (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De MuleSoft Cloudhub-gegevensconnector biedt de mogelijkheid om logboeken op te halen van Cloudhub-toepassingen met behulp van de Cloudhub-API en meer gebeurtenissen in Microsoft Sentinel via de REST API. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
MuleSoft_Cloudhub_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername en MuleSoftPassword zijn vereist voor het maken van API-aanroepen.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Azure Blob Storage API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht MuleSoftCloudhub die is geïmplementeerd met de Microsoft Sentinel Solution.
Opmerking: met deze gegevensconnector worden alleen de logboeken van de CloudHub-toepassing opgehaald met behulp van de Platform-API en niet van de CloudHub 2.0-toepassing
STAP 1: configuratiestappen voor de MuleSoft Cloudhub-API
Volg de instructies om de referenties te verkrijgen.
- Haal de MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername en MuleSoftPassword op met behulp van de documentatie.
- Sla referenties op voor gebruik in de gegevensconnector.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de MuleSoft Cloudhub-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de MuleSoft Cloudhub-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername en MuleSoftPassword in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de MuleSoft Cloudhub-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld MuleSoftXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
NC Protect
Ondersteund door:archTIS
NC Protect Data Connector (archtis.com) biedt de mogelijkheid om activiteitenlogboeken en gebeurtenissen van gebruikers op te nemen in Microsoft Sentinel. De connector biedt inzicht in nc protect-activiteitenlogboeken en -gebeurtenissen in Microsoft Sentinel om de mogelijkheden voor bewaking en onderzoek te verbeteren
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
NCProtectUAL_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- NC Protect: U moet een actief exemplaar van NC Protect voor O365 hebben. Neem contact met ons op.
Installatie-instructies:
- NC Protect installeren in uw Azure Tenancy
- Meld u aan bij de NC Protect-beheersite
- Selecteer in het navigatiemenu aan de linkerkant Algemeen -> Bewaking van gebruikersactiviteit
- Schakel het selectievakje SIEM inschakelen in en klik op de knop Configureren
- Selecteer Microsoft Sentinel als de toepassing en voltooi de configuratie met behulp van de onderstaande informatie
- Klik op Opslaan om de verbinding te activeren
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Netskope-waarschuwingen en -gebeurtenissen
Ondersteund door:Netskope
Netskope-beveiligingswaarschuwingen en -gebeurtenissen
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
NetskopeAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Url van Netskope-organisatie: voor de Netskope-gegevensconnector moet u de URL van uw organisatie opgeven. U kunt de URL van uw organisatie vinden door u aan te melden bij de Netskope-portal.
- Netskope API-sleutel: voor de Netskope-gegevensconnector moet u een geldige API-sleutel opgeven. U kunt er een maken door de Netskope-documentatie te volgen.
Installatie-instructies:
STAP 1: maak een Netskope-API-sleutel.
Volg de Netskope-documentatie voor hulp bij deze stap.
STAP 2- Voer uw Netskope-productdetails in
Voer hieronder de URL van uw Netskope-organisatie in & API-token:
- Organisatie-URL: (voer de URL van uw organisatie in)
- API-sleutel: (voer uw API-sleutel in) OPTIONEEL: geef de index op die door de API wordt gebruikt.
Het configureren van de index is optioneel en alleen vereist in geavanceerde scenario's. Netskope gebruikt een index om gebeurtenissen op te halen. In sommige geavanceerde gevallen (het verbruik van de gebeurtenis in meerdere Microsoft Sentinel werkruimten, of het vooraf verduiden van de index om alleen recente gegevens op te halen), wil een klant mogelijk directe controle over de index hebben.
- Index: (NetskopeCCF)
STAP 3: klik op Verbinding maken
Controleer of alle bovenstaande velden correct zijn ingevuld. Druk op Verbinden om Netskope te verbinden met Microsoft Sentinel.
- Verbinding in-/uitschakelen
Netskope-gegevensconnector
Ondersteund door:Netskope
De Netskope-gegevensconnector biedt de volgende mogelijkheden:
- NetskopeToAzureStorage :
- Haal de netskope-gegevens over waarschuwingen en gebeurtenissen op van Netskope en neem deze op naar Azure-opslag. 2. StorageToSentinel :
- Haal de Netskope-gegevens over waarschuwingen en gebeurtenissen op van Azure opslag en opname in aangepaste logboektabel in log analytics-werkruimte. 3. WebTxMetrics:
- Haal de WebTxMetrics-gegevens op uit Netskope en neem deze op in de aangepaste logboektabel in de Log Analytics-werkruimte.
Raadpleeg de onderstaande documentatie voor meer informatie over REST API's:
- Documentatie voor Netskope API:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure documentatie voor opslag: /azure/storage/common/storage-introduction 3. Analysedocumentatie voor Microsoft-logboeken: /azure/azure-monitor/logs/log-analytics-overview
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
alertscompromisedcredentialdata_CL |
Nee | Nee |
alertsctepdata_CL |
Nee | Nee |
alertsdlpdata_CL |
Nee | Nee |
alertsmalsitedata_CL |
Nee | Nee |
alertsmalwaredata_CL |
Nee | Nee |
alertspolicydata_CL |
Nee | Nee |
alertsquarantinedata_CL |
Nee | Nee |
alertsremediationdata_CL |
Nee | Nee |
alertssecurityassessmentdata_CL |
Nee | Nee |
alertsubadata_CL |
Nee | Nee |
eventsapplicationdata_CL |
Nee | Nee |
eventsauditdata_CL |
Nee | Nee |
eventsconnectiondata_CL |
Nee | Nee |
eventsincidentdata_CL |
Nee | Nee |
eventsnetworkdata_CL |
Nee | Nee |
eventspagedata_CL |
Nee | Nee |
Netskope_WebTx_metrics_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Azure Abonnement: Azure Abonnement met de rol eigenaar is vereist om een toepassing te registreren in Azure Active Directory() en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: Netskope Tenant en Netskope API-token zijn vereist. Raadpleeg de documentatie voor meer informatie over API op de Rest API-verwijzing
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Netskope-API's om de gegevens over waarschuwingen en gebeurtenissen op te halen in een aangepaste logboektabel. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: Stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van het playbook TriggersSync.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 2: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van triggersSync-playbook. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van triggersSync-playbook.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 3: de rol van inzender toewijzen aan toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 4: stappen voor het maken/ophalen van referenties voor het Netskope-account
Volg de stappen in deze sectie om Netskope-hostnaam en Netskope API-token te maken/ophalen:
- Meld u aan bij uw Netskope-tenant en ga naar het menu Instellingen op de linkernavigatiebalk.
- Klik op Extra en vervolgens op REST API v2
- Klik nu op de knop nieuw token. Vervolgens wordt gevraagd om de naam van het token, de verloopduur en de eindpunten waaruit u gegevens wilt ophalen.
- Zodra dat is gebeurd, klikt u op de knop Opslaan, wordt het token gegenereerd. Kopieer het token en sla het op een veilige plaats op voor verder gebruik.
STAP 5: Stappen voor het maken van azure-functies voor netskope-waarschuwingen en gegevensverzameling van gebeurtenissen
BELANGRIJK: Voordat u Netskope-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) direct beschikbaar.., evenals de Netskope API-autorisatiesleutel(s).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Implementeer met behulp van de ARM-sjabloon de functie-apps voor opname van Netskope-gebeurtenissen en waarschuwingsgegevens voor Sentinel.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Netskope HostName Netskope API-token Selecteer Ja in de vervolgkeuzelijst Waarschuwingen en gebeurtenissentypen voor het eindpunt dat u wilt ophalen Waarschuwingen en gebeurtenislogboekniveau Werkruimte-id-sleutel werkruimte-id
Klik op Beoordelen+Maken.
Klik na validatie op Maken om te implementeren.
Netskope Web Transaction Connector (via Blob Storage)
Ondersteund door:Netskope
De Netskope Web Transaction-connector neemt webtransactielogboeken van Netskope Log Streaming op in Microsoft Sentinel via Azure Blob Storage met behulp van het Codeless Connector Framework (CCF).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
NetskopeWebTransactions_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Abonnementsmachtigingen: u hebt machtigingen nodig om de gegevensstroomresources te maken:
- opslagwachtrijen (meldingswachtrij en wachtrij met dode letters)
- gebeurtenisrasteronderwerp en -abonnement (om meldingen over 'door blob gemaakte gebeurtenis' te verzenden naar de meldingswachtrij)
- roltoewijzingen (om toegang te verlenen voor Microsoft Sentinel app tot de blobcontainer en de opslagwachtrijen.)
- Netwerkconfiguratie van opslagaccount: Netwerkbeperkingen (firewall-/IP-regels) voor het Azure Blob Storage-account worden niet ondersteund voor deze connector vanwege Azure firewallbeperkingen en -beperkingen voor Opslag:
- IP-netwerkregels hebbengeen invloedop aanvragen die afkomstig zijn uit dezelfde Azure regio als het opslagaccount.
- IP-netwerkregels kunnen de toegang tot Azure services die in dezelfde regio zijn geïmplementeerd,niet beperken, omdat deze services gebruikmaken van privé-Azure IP-adressen voor communicatie.
- Regels voor service-eindpunten voor virtuele netwerken zijn niet van toepassing op clients in een gekoppelde regio.
Zorg ervoor dat de blade Netwerken van het opslagaccount is ingesteld op Ingeschakeld vanuit alle netwerken.
- Roltoewijzingen voor opslagaccounts: de volgende Azure RBAC-rollen moeten worden toegewezen aan de Microsoft Sentinel enterprise-toepassingsservice-principal (hieronder weergegeven) op het opslagaccount dat uw blobcontainer bevat:
- Bijdrager voor opslagblobgegevens : vereist voor het lezen van blobgegevens uit de container.
- Inzender voor opslagwachtrijgegevens : vereist voor het beheren van berichten in de wachtrij met meldingen en wachtrijen met een dode letter.
Als u deze rollen wilt toewijzen, gaat u naar het → Access Control (IAM) van het opslagaccount → Roltoewijzing toevoegen, zoekt u naar de service-principal-id die hieronder wordt weergegeven en wijst u beide rollen toe.
- Gegevens verzamelen van Netskope naar uw blobcontainer: volg de stappen in de documentatie voor Netskope Log Streaming om Netskope te configureren voor het streamen van webtransactielogboeken naar uw Azure Blob Storage container.
Installatie-instructies:
Netskope WebTx-logboeken verbinden met Microsoft Sentinel
Als u de Netskope WebTx-logboeken voor Microsoft Sentinel wilt inschakelen, geeft u de vereiste informatie hieronder op en klikt u op Verbinding maken.
- De URL van de blobcontainer waaruit u gegevens wilt verzamelen:
- De naam van de blobs-map in de container. Optionele.:
- De opslagaccountlocatie van de blobcontainer:
- De naam van de resourcegroep voor het opslagaccount van de blobcontainer:
- De abonnements-id van het opslagaccount van de blobcontainer:
- De gebeurtenisrasteronderwerpnaam van het opslagaccount van de blobcontainer, indien aanwezig. anders leeg blijven.:
- Verbinding in-/uitschakelen
Netskope Web Transactions Data Connector
Ondersteund door:Netskope
De Netskope Web Transactions-gegevensconnector biedt de functionaliteit van een docker-installatiekopie om de Netskope Web Transactions-gegevens op te halen uit google pubsublite, de gegevens te verwerken en de verwerkte gegevens op te nemen in Log Analytics. Als onderdeel van deze gegevensconnector worden twee tabellen gevormd in Log Analytics, één voor webtransactiesgegevens en andere voor fouten die zijn opgetreden tijdens de uitvoering.
Raadpleeg de onderstaande documentatie voor meer informatie over webtransacties:
- Documentatie voor Netskope Web Transactions:
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
NetskopeWebtxData_CL |
Nee | Nee |
NetskopeWebtxErrors_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Azure abonnement: Azure abonnement met de rol eigenaar is vereist om een toepassing te registreren in Microsoft Entra ID en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Microsoft.Compute-machtigingen: lees- en schrijfmachtigingen voor Azure VM's zijn vereist. Zie vm's Azure voor meer informatie.
- TransactionEvents-referenties en -machtigingen: Netskope Tenant en Netskope API-token zijn vereist. Zie Transactie-gebeurtenissen voor meer informatie.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
Installatie-instructies:
OPMERKING: Deze connector biedt de functionaliteit voor het opnemen van Netskope Web Transactions-gegevens met behulp van een Docker-installatiekopie die moet worden geïmplementeerd op een virtuele machine (ofwel Azure VM/on-premises VM). Raadpleeg de pagina met Azure VM-prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: stappen voor het maken/ophalen van referenties voor het Netskope-account
Volg de stappen in deze sectie om Netskope-hostnaam en Netskope API-token te maken/ophalen:
- Meld u aan bij uw Netskope-tenant en ga naar het menu Instellingen op de linkernavigatiebalk.
- Klik op Extra en vervolgens op REST API v2
- Klik nu op de knop nieuw token. Vervolgens wordt gevraagd om de naam van het token, de verloopduur en de eindpunten waaruit u gegevens wilt ophalen.
- Zodra dat is gebeurd, klikt u op de knop Opslaan, wordt het token gegenereerd. Kopieer het token en sla het op een veilige plaats op voor verder gebruik.
STAP 2: kies een van de volgende twee implementatieopties om de docker-gegevensconnector te implementeren om Netskope Web Transactions-gegevens op te nemen
BELANGRIJK: Voordat u Netskope-gegevensconnector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) direct beschikbaar, evenals de Netskope API-autorisatiesleutel(s) [Controleer of het token machtigingen heeft voor transactiegebeurtenissen].
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager) gebruiken om een VM te implementeren [aanbevolen]
Met behulp van de ARM-sjabloon een Azure VM implementeren, installeert u de vereisten en start u de uitvoering.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Docker Image Name (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (Het epoch-tijdstempel dat u wilt zoeken naar de pubsublite-aanwijzer, kan leeg blijven) Werkruimte-id Aantal back-off-pogingen voor werkruimtesleutel Aantal back-off-pogingen (het aantal nieuwe pogingen voor fouten met betrekking tot tokens voordat u de uitvoering opnieuw start.)
Backoff-slaapstand (aantal seconden dat in de slaapstand moet worden gezet voordat het opnieuw wordt geprobeerd) Time-out voor inactiviteit (aantal seconden dat moet worden gewacht op gegevens van webtransacties voordat de uitvoering opnieuw wordt gestart) VM-naam verificatietype Beheer wachtwoord of sleutel-DNS-label voorvoegsel Ubuntu OS-versie Locatie VM-grootte subnetnaam Netwerkbeveiligingsgroep Naam BeveiligingstypeKlik op Beoordelen+Maken.
Klik na validatie op Maken om te implementeren.
Optie 2: handmatige implementatie op eerder gemaakte virtuele machine
Gebruik de volgende stapsgewijze instructies om de docker-gegevensconnector handmatig te implementeren op een eerder gemaakte virtuele machine.
- Installatiekopie van docker en pull-docker installeren
OPMERKING: Zorg ervoor dat de VM op Linux is gebaseerd (bij voorkeur Ubuntu).
Eerst moet u SSH uitvoeren op de virtuele machine.
Installeer nu de Docker-engine.
Haal nu de docker-installatiekopie uit de docker-hub met behulp van de opdracht sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions.
Gebruik nu de opdracht sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions om de docker-installatiekoper uit te voeren. U kunt mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions vervangen door de afbeeldings-id. Hier is docker_persistent_volume de naam van de map die wordt gemaakt op de vm waarin de bestanden worden opgeslagen.
De parameters configureren
Zodra de docker-installatiekopie wordt uitgevoerd, wordt om de vereiste parameters gevraagd.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende waarden (hoofdlettergevoelig): Netskope HostName Netskope API Token Seek Timestamp (Het tijdstempel voor het tijdvak waarvoor u de pubsublite-aanwijzer wilt zoeken, kan leeg blijven) Werkruimte-id Werkruimte-id Werkruimtesleutel Aantal back-off-pogingen (het aantal nieuwe pogingen voor tokengerelateerde fouten voordat u de uitvoering opnieuw start.)
Terugval in de slaapstand (aantal seconden dat in de slaapstand moet worden gezet voordat het opnieuw wordt geprobeerd) Time-out voor inactiviteit (aantal seconden dat moet worden gewacht op gegevens van webtransacties voordat de uitvoering opnieuw wordt gestart)De uitvoering is nu gestart, maar bevindt zich in de interactieve modus, zodat shell niet kan worden gestopt. Als u het als achtergrondproces wilt uitvoeren, stopt u de huidige uitvoering door op Ctrl+C te drukken en vervolgens de opdracht sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions te gebruiken.
De Docker-container stoppen
Gebruik de opdracht sudo docker container ps om de actieve Docker-containers weer te geven. Noteer uw container-id.
Stop de container nu met de opdracht sudo docker stop <container-id>.
Netwerkbeveiligingsgroepen
Ondersteund door:Microsoft Corporation
met Azure netwerkbeveiligingsgroepen (NSG's) kunt u netwerkverkeer van en naar Azure resources in een Azure virtueel netwerk filteren. Een netwerkbeveiligingsgroep bevat regels die verkeer naar een subnet van een virtueel netwerk, de netwerkinterface of beide toestaan of weigeren.
Wanneer u logboekregistratie inschakelt voor een NSG, kunt u de volgende typen resourcelogboekgegevens verzamelen:
- Gebeurtenis: Vermeldingen worden vastgelegd waarvoor NSG-regels worden toegepast op VM's, op basis van het MAC-adres.
- Regelteller: Bevat vermeldingen voor hoe vaak elke NSG-regel wordt toegepast om verkeer te weigeren of toe te staan. De status voor deze regels wordt elke 300 seconden verzameld.
Met deze connector kunt u uw diagnostische NSG-logboeken streamen naar Microsoft Sentinel, zodat u continu activiteiten in al uw exemplaren kunt bewaken. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
AzureDiagnostics |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
NordPass
Ondersteund door:NordPass
Als u NordPass integreert met Microsoft Sentinel SIEM via de API, kunt u automatisch activiteitenlogboekgegevens van NordPass overdragen naar Microsoft Sentinel en realtime inzichten krijgen, zoals itemactiviteit, alle aanmeldingspogingen en beveiligingsmeldingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
NordPassEventLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Zorg ervoor dat de resourcegroep en de Log Analytics-werkruimte zijn gemaakt en zich in dezelfde regio bevinden, zodat u de Azure Functions kunt implementeren.
- Voeg Microsoft Sentinel toe aan de gemaakte Log Analytics-werkruimte.
- Genereer een Microsoft Sentinel API-URL en -token in het deelvenster NordPass Beheer om de Azure Functions integratie te voltooien. Houd er rekening mee dat u hiervoor het NordPass Enterprise-account nodig hebt.
- Belangrijk: Deze connector gebruikt Azure Functions om activiteitenlogboeken van NordPass op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen voor Azure Functions voor meer informatie.
Installatie-instructies:
Om door te gaan met het instellen van de Microsoft Sentinel
Klik hieronder op de knop Implementeren naar Azure.
Houd er rekening mee dat na de geslaagde implementatie het systeem standaard elke 1 minuut activiteitenlogboekgegevens ophaalt.
Obsidian Datasharing Connector
Ondersteund door:Obsidian Security
De Obsidian Datasharing-connector biedt de mogelijkheid om onbewerkte gebeurtenisgegevens te lezen uit Obsidian Datasharing in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ObsidianActivity_CL |
Nee | Nee |
ObsidianThreat_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Deze connector leest gegevens uit de tabellen die Obsidian Datasharing gebruikt in een Microsoft Analytics-werkruimte. Als de optie voor het doorsturen van gegevens is ingeschakeld in Obsidian Datasharing, worden onbewerkte gebeurtenisgegevens verzonden naar de Microsoft Sentinel Opname-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Push uw logboeken naar de werkruimte
Gebruik de volgende parameters om de computer te configureren om de logboeken naar de werkruimte te verzenden.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Naam van activiteit Stream: <variabelewaarde opgegeven tijdens de installatie>
- Naam van bedreiging Stream: <variabele waarde opgegeven tijdens de installatie>
Okta Single Sign-On (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Okta Single Sign-On-gegevensconnector biedt de mogelijkheid om audit- en gebeurtenislogboeken van de Okta Sysem-logboek-API op te nemen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework en maakt gebruik van de Okta System Log API om de gebeurtenissen op te halen. De connector ondersteunt op DCR gebaseerde opnametijdtransformaties die de ontvangen beveiligingsgebeurtenisgegevens parseert in aangepaste kolommen, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OktaSSO |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Okta API-token: een Okta-API-token. Volg de volgende instructies om een Zie de documentatie te maken voor meer informatie over Okta System Log API.
Installatie-instructies:
Als u de Okta Single Sign-On voor Microsoft Sentinel wilt inschakelen, geeft u hieronder de vereiste informatie op en klikt u op Verbinding maken.
- Raster van gegevensconnectors (configureren in de portal)
Onapsis Defend: Unmatched SAP Threat Detection & Intel integreren met Microsoft Sentinel
Ondersteund door:Onapsis
Beveiligingsteams uitgebreid inzicht geven in unieke exploit-, zero-day- en bedreigingsactiviteiten; verdacht gedrag van gebruikers of insiders; downloads van gevoelige gegevens; schendingen van beveiligingscontrole; en meer - allemaal verrijkt door de SAP-experts van Onapsis.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Onapsis_Defend_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Uitgever van bewakingsgegevens toe te wijzen aan regels voor gegevensverzameling. Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
We maken gegevensverzamelingsregel (DCR) en DCE-resources (Data Collection Endpoint). We maken ook een Microsoft Entra app-registratie en wijzen de vereiste machtigingen eraan toe.
Geautomatiseerde implementatie van Azure-resources Als u klikt op 'Resources voor pushconnector implementeren' wordt het maken van DCR- en DCE-resources geactiveerd. Vervolgens wordt er een Microsoft Entra app-registratie met clientgeheim gemaakt en worden machtigingen verleend op de DCR. Met deze instelling kunnen gegevens veilig worden verzonden naar de DCR met behulp van een OAuth v2-clientreferenties.
2. De eindpuntgegevens en verificatiegegevens van de gegevensverzameling onderhouden in Onapsis Defend Integration
Deel de eindpunt-URL en verificatiegegevens van de gegevensverzameling met de Onapsis Defend Integration-beheerder om de Onapsis Defend-integratie te configureren om gegevens te verzenden naar het eindpunt voor gegevensverzameling.
- Tenant-id | Gebruik deze waarde om te configureren als tenant-id: <variabele waarde die wordt opgegeven tijdens de installatie>
- Entra toepassings-id | Gebruik deze waarde voor de client-id: <variabele waarde die is opgegeven tijdens de installatie>
- toepassingsgeheim Entra | Gebruik deze waarde voor de waarde token: <variabele die is opgegeven tijdens de installatie>
- LogIngestionURL | Gebruik deze waarde voor de URL-parameter: <variabele waarde die is opgegeven tijdens de installatie>
- Onveranderbare DCR-id | Gebruik deze waarde voor de parameter DCR_ID: <variabele waarde die is opgegeven tijdens de installatie>
OneLogin IAM Platform (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De OneLogin-gegevensconnector biedt de mogelijkheid om veelvoorkomende OneLogin IAM-platformgebeurtenissen op te nemen in Microsoft Sentinel via REST API met behulp van de OneLogin-gebeurtenissen-API en de OneLogin-gebruikers-API. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OneLoginEventsV2_CL |
Ja | Ja |
OneLoginUsersV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- OneLogin IAM API-referenties: als u API-referenties wilt maken, volgt u de documentkoppeling die hier wordt verstrekt, Klik hier. Zorg ervoor dat u een accounttype van accounteigenaar of beheerder hebt om de API-referenties te maken. Zodra u de API-referenties hebt gemaakt, krijgt u uw client-id en clientgeheim.
Installatie-instructies:
OneLogin IAM Platform verbinden met Microsoft Sentinel
Als u gegevens wilt opnemen van OneLogin IAM naar Microsoft Sentinel, moet u hieronder op de knop Domein toevoegen klikken, waarna u een pop-upvenster krijgt om de details in te vullen, de vereiste informatie op te geven en op Verbinding maken te klikken. U kunt de domeineindpunten zien die zijn verbonden in het raster.
- Raster van gegevensconnectors (configureren in de portal)
OneTrust
Ondersteund door:OneTrust, LLC
De OneTrust-connector voor Microsoft Sentinel biedt de mogelijkheid om in bijna realtime inzicht te hebben in waar gevoelige gegevens zijn opgeslagen of hersteld in Google Cloud en andere door OneTrust ondersteunde gegevensbronnen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OneTrustMetadataV3_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Deze connector leest gegevens uit de tabellen die OneTrust gebruikt in een Microsoft Analytics-werkruimte. Als de optie voor het doorsturen van gegevens van OneTrust is ingeschakeld, kunnen onbewerkte gebeurtenisgegevens worden verzonden naar de Microsoft Sentinel Ingestion-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Push uw logboeken naar de werkruimte
Gebruik de volgende parameters om de computer te configureren om de logboeken naar de werkruimte te verzenden.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- OneTrust Metadata Stream Name: <variabele waarde opgegeven tijdens de installatie>
Open Systems Data Connector
Ondersteund door:Open Systems
De Open Systems Logs-API Microsoft Sentinel Connector biedt de mogelijkheid om Open Systems-logboeken op te nemen in Microsoft Sentinel met behulp van de Open Systems-logboeken-API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Ja | Ja |
OpenSystemsFirewallLogs_CL |
Nee | Nee |
OpenSystemsAuthenticationLogs_CL |
Nee | Nee |
OpenSystemsProxyLogs_CL |
Nee | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Container Apps, DCR's en DCE's: machtigingen voor het implementeren van Azure Container Apps, Beheerde omgevingen, Regels voor gegevensverzameling (DCR's) en Eindpunten voor gegevensverzameling (DCE's) zijn vereist. Dit wordt meestal gedekt door de rol 'Inzender' voor het abonnement of de resourcegroep.
- Machtigingen voor roltoewijzing: machtigingen voor het maken van roltoewijzingen (met name 'Monitoring Metrics Publisher' op DCR's) zijn vereist voor de implementerende gebruiker of service-principal.
- Vereiste referenties voor ARM-sjabloon: tijdens de implementatie moet u het VOLGENDE opgeven: Open Systems Logs API-eindpunt en verbindingsreeks, en service-principalreferenties (client-id, clientgeheim, object/principal-id).
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Aangepaste vereisten indien nodig, verwijder anders dit douanelabel: Beschrijving voor eventuele aangepaste vereisten
Installatie-instructies:
STAP 1: Vereisten
Zorg ervoor dat u over de volgende informatie en machtigingen beschikt voordat u doorgaat:
- Open API-eindpunt en verbindingsreeks voor systeemlogboeken.
- Referenties voor service-principal (client-id, clientgeheim, object/principal-id).
- Machtigingen voor het implementeren van Azure container-apps, beheerde omgevingen, regels voor gegevensverzameling (DCR's), eindpunten voor gegevensverzameling (DCE's) en het maken van roltoewijzingen (meestal de rol 'Inzender' voor het abonnement of de resourcegroep).
STAP 2: De connector implementeren
Implementeer de ARM-sjabloon om de gegevensverwerkingsresources in te stellen, inclusief de regel voor gegevensverzameling en de bijbehorende onderdelen.
Klik hieronder op de knop Implementeren naar Azure. Hiermee gaat u naar de Azure Portal.
Selecteer in de Azure Portal uw gewenste abonnement, resourcegroep en regio.
Geef de vereiste parameters op, inclusief de parameters die zijn verzameld in de stap vereisten (API-details van Open Systems-logboeken, referenties van service-principal, enzovoort), wanneer u hierom wordt gevraagd door de implementatiewizard.
Controleer de voorwaarden en klik op Beoordelen en maken en vervolgens op Maken om de implementatie te starten.
STAP 3: Verificatie na implementatie
Na een geslaagde implementatie:
- Controleer of de Azure Container-app waarop de processor wordt uitgevoerd, de status Actief heeft.
- Controleer de
OpenSystemsZtnaLogs_CLtabellen ,OpenSystemsFirewallLogs_CL,OpenSystemsAuthenticationLogs_CLenOpenSystemsProxyLogs_CLin uw Log Analytics-werkruimte op binnenkomende gegevens. Het kan enige tijd duren voordat logboeken worden weergegeven na de eerste installatie. - Gebruik de voorbeeldquery's op het tabblad Volgende stappen van deze gegevensconnectorpagina om uw logboeken weer te geven en te analyseren.
OpenAI (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de OpenAI-gegevensconnector kunt u auditlogboeken, voltooiingsgegevens van chats of beide van uw OpenAI-organisatie opnemen in Microsoft Sentinel via de OpenAI-API. Elk gegevenstype maakt gebruik van een afzonderlijke REST API-poller en vereist een ander TYPE API-sleutel: auditlogboeken (gebruikersacties, API-sleutelbeheer, organisatiewijzigingen, beveiligingsgebeurtenissen) vereisen een beheer-API-sleutel op organisatieniveau, terwijl voor voltooiing van chats (modelgebruik, tokenverbruik, prestatiegegevens) een API-sleutel op projectniveau is vereist. U kunt een of beide gegevenstypen afzonderlijk configureren. Auditlogboeken worden verzameld in de aangepaste OpenAIAuditLogs_CL tabel (alias genoemd door de Parser OpenAIAuditLogs). Voltooiingen van chats worden genormaliseerd in de ASIM-standaard ASIM-tabel ASIM van ASimAgentEventLogs (alias genoemd door de OpenAIChatCompletions-parser) voor beveiligingsbewaking, nalevingsanalyse en gebruiksbewaking. Raadpleeg de OpenAI API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OpenAIAuditLogs |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- OpenAI API-toegang: voor elk gegevenstype is een ander TYPE API-sleutel vereist. Er is een beheer-API-sleutel op organisatieniveau vereist voor auditlogboeken. Deze kunnen worden gemaakt in de instellingen van uw OpenAI-organisatie. Er is een API-sleutel op projectniveau vereist voor het voltooien van chats. Deze kunnen worden gemaakt onder een specifiek project in het OpenAI-dashboard. U kunt auditlogboeken, voltooiingen van chats of beide onafhankelijk configureren.
Installatie-instructies:
Verbindingsgegevens
Details van de verbindingen die worden gebruikt voor het verzamelen van gegevens uit de API van OpenAI.
-
Auditlogboeken (
OpenAIAuditLogs): - Beheer-API-sleutels op organisatieniveau gebruiken.
- Auditlogboekregistratie moet zijn ingeschakeld in uw OpenAI-organisatie-instellingen. Organisatie-eigenaren kunnen naar OpenAI's
Organization settings->Data controls>Data retention- gaan om auditlogboekregistratie in te schakelen. - Zodra OpenAI-auditlogboekregistratie is ingeschakeld, kan dit niet worden uitgeschakeld zonder contact op te maken met de ondersteuning van OpenAI.
-
Voltooiingen van chats (
ASimAgentEventLogs): - Api-sleutels op projectniveau gebruiken.
- Alleen voltooiingen van chats die zijn gemaakt met de
storeparameter die is ingesteld optrue, worden verzameld. - Voltooiingen van chats worden genormaliseerd in de standaardtabel ASimAgentEventLogs ASIM.
- Als u opgeslagen chats verwijdert terwijl deze connector actief is, moet u mogelijk de verbinding verbreken en opnieuw verbinding maken om de status van de gegevensverzameling opnieuw in te stellen.
Verbinding met OpenAI-auditlogboeken toevoegen
Voer uw OpenAI API-referenties in om auditlogboekgegevens van de OpenAI-API te verzamelen.
OpenAI-chatverbinding toevoegen
Voer uw OpenAI API-referenties in voor het verzamelen van chat-voltooiingsgegevens van de OpenAI-API.
- Raster van gegevensconnectors (configureren in de portal)
Oracle Cloud Infrastructure (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De OCI-gegevensconnector (Oracle Cloud Infrastructure) biedt de mogelijkheid om OCI-logboeken van OCI-Stream op te nemen in Microsoft Sentinel met behulp van de OCI Streaming REST API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OCI_LogsV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot de OCI Streaming API: toegang tot de OCI Streaming-API via een API-ondertekeningssleutel is vereist.
Installatie-instructies:
Verbinding maken met de OCI Streaming-API om te beginnen met het verzamelen van gebeurtenislogboeken in Microsoft Sentinel
- Meld u aan bij de OCI-console en open het navigatiemenu.
- Ga in het navigatiemenu naar 'Analytics & AI' -> 'Streaming'.
- Klik op 'Stream maken'.
- Selecteer een bestaande 'Stream pool' of maak een nieuwe pool.
- Voer de volgende gegevens in:
- "naam van Stream"
- "Retentie"
- "Aantal partities"
- "Totale schrijfsnelheid"
- "Totale leessnelheid" (op basis van uw gegevensvolume)
- Ga in het navigatiemenu naar 'Logboekregistratie' -> 'Serviceconnectors'.
- Klik op Serviceconnector maken.
- Voer de volgende gegevens in:
- "Naam van connector"
- Beschrijving
- "Resourcecompartiment"
- Selecteer de 'Bron': 'Logboekregistratie'.
- Selecteer het 'Doel': 'Streaming'.
- (Optioneel) Configureer 'Logboekgroep', 'Filters' of gebruik een 'aangepaste zoekquery' om alleen de vereiste logboeken te streamen.
- Configureer het 'Doel' door de eerder gemaakte stream te selecteren.
- Klik op Maken.
- Volg de documentatie om een configuratiebestand voor persoonlijke sleutel en API-sleutel te maken. Sla het Pem-bestand, wachtwoordzin op (optioneel, deze is niet ingesteld wanneer u de OCI-console gebruikt om het API-ondertekeningssleutelpaar te genereren) en vingerafdruk op een beveiligde plaats voor gebruik bij het maken van verbinding.
- Raster van gegevensconnectors (configureren in de portal)
Orca-beveiligingswaarschuwingen
Ondersteund door:Orca Security
Met de Orca-connector voor beveiligingswaarschuwingen kunt u eenvoudig waarschuwingenlogboeken exporteren naar Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
OrcaAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Volg de richtlijnen voor het integreren van logboeken voor Orca-beveiligingswaarschuwingen met Microsoft Sentinel.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Palo Alto Cortex XDR
Ondersteund door:Microsoft Corporation
Met de Palo Alto Cortex XDR-gegevensconnector kunnen logboeken van de Palo Alto Cortex XDR-API worden opgenomen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework. Het maakt gebruik van de Palo Alto Cortex XDR-API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen beveiligingsgegevens in een aangepaste tabel worden geparseerd, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Ja | Ja |
PaloAltoCortexXDR_Endpoints_CL |
Ja | Ja |
PaloAltoCortexXDR_Audit_Management_CL |
Ja | Ja |
PaloAltoCortexXDR_Audit_Agent_CL |
Ja | Ja |
PaloAltoCortexXDR_Alerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Configuratiestappen voor de Palo Alto Cortex XDR-API Volg de instructies om de referenties te verkrijgen. u kunt deze handleiding ook volgen om de API-sleutel te genereren.
API-URL 1.1 ophalen. Meld u aan bij palo Alto Cortex XDR [beheerconsole] met Beheer gebruikersreferenties 1.2. Klik in de [Beheerconsole] op [Instellingen] -> [Configuraties] 1.3. Klik onder [Integraties] op [API-sleutels]. 1.4. Klik op de pagina [Instellingen] op [API-URL kopiëren] in de rechterbovenhoek.
API-token 2.1 ophalen. Meld u aan bij de Palo Alto Cortex XDR [Beheerconsole] met Beheer gebruikersreferenties 2.2. Klik in de [Beheerconsole] op [Instellingen] -> [Configuraties] 2.3. Klik onder [Integraties] op [API-sleutels]. 2.4. Klik op de pagina [Instellingen] op [Nieuwe sleutel] in de rechterbovenhoek. 2.5. Kies beveiligingsniveau, rol, kies Standaard en klik op [Genereren] 2.6. Kopieer het API-token, zodra het de [API-token-id] heeft gegenereerd, vindt u onder de kolom ID
-
BASIS-API-URL: (
https://api-example.xdr.au.paloaltonetworks.com) - API-sleutel-id: (API-id)
- API-token: (API-token)
- Verbinding in-/uitschakelen
Palo Alto Cortex Xpanse (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Palo Alto Cortex Xpanse-gegevensconnector neemt waarschuwingsgegevens op in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CortexXpanseAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Palo Alto Xpanse verbinden met Microsoft Sentinel
Als u gegevens wilt opnemen van Palo Alto Cortex Xpanse naar Microsoft Sentinel, klikt u op Domein toevoegen. Vul de vereiste gegevens in het pop-upvenster in en klik op Verbinding maken. U ziet verbonden domeineindpunten in het onderstaande raster. Als u de verificatie-id en API-sleutel wilt ophalen, gaat u naar Instellingen → Configuratie → Integraties → API-sleutels in de Cortex Xpanse-portal en genereert u nieuwe referenties.
- Raster van gegevensconnectors (configureren in de portal)
Palo Alto Prisma Cloud CSPM (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de Palo Alto Prisma Cloud CSPM-gegevensconnector kunt u verbinding maken met uw Palo Alto Prisma Cloud CSPM-exemplaar en waarschuwingen (https://pan.dev/prisma-cloud/api/cspm/alerts/) & auditlogboeken(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) opnemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Palo Alto Prisma Cloud CSPM-gebeurtenissen verbinden met Microsoft Sentinel
Raadpleeg deconnectorzelfstudie, geef de vereiste informatie hieronder op en klik op Verbinding maken voor meer informatie over het verkrijgen van de Prisma Cloud-toegangssleutel, geheime sleutel en basis-URL.
- Prisma Cloud-toegangssleutel: (Toegangssleutel invoeren)
- Prisma Cloud Secret Key: (Voer Geheime sleutel in)
- Prisma Cloud Base URL: (https://api2.eu.prismacloud.io)
- Verbinding in-/uitschakelen
- Raster van gegevensconnectors (configureren in de portal)
Palo Alto Prisma Cloud CWPP (met behulp van REST API)
Ondersteund door:Microsoft Corporation
Met de Palo Alto Prisma Cloud CWPP-gegevensconnector kunt u verbinding maken met uw Palo Alto Prisma Cloud CWPP-exemplaar en waarschuwingen opnemen in Microsoft Sentinel. De gegevensconnector is gebouwd op het codeloze connectorframework van Microsoft Sentinel en maakt gebruik van de Prisma Cloud-API om beveiligingsgebeurtenissen op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties die de ontvangen beveiligingsgebeurtenisgegevens parseren in aangepaste kolommen, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PrismaCloudCompute_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- PrismaCloudCompute API-sleutel: De gebruikersnaam en het wachtwoord van de Palo Alto Prisma Cloud CWPP Monitor-API zijn vereist. Zie PrismaCloudCompute SIEM API voor meer informatie.
Installatie-instructies:
Palo Alto Prisma Cloud CWPP-beveiligingsgebeurtenissen verbinden met Microsoft Sentinel
Als u de Palo Alto Prisma Cloud CWPP-beveiligingsgebeurtenissen voor Microsoft Sentinel wilt inschakelen, geeft u hieronder de vereiste informatie op en klikt u op Verbinding maken.
- Pad naar console: (europe-west3.cloud.twistlock.com/{sasid})
- Prisma Access Key (API): (Prisma Access Key (API))
- Geheim: (Geheim)
- Verbinding in-/uitschakelen
Pathlock Inc.: Detectie en reactie op bedreigingen voor SAP
Ondersteund door:Pathlock Inc.
De integratie van Pathlock Threat Detection and Response (TD&R) met Microsoft Sentinel Solution for SAP biedt uniform, realtime inzicht in SAP-beveiligingsgebeurtenissen, zodat organisaties bedreigingen in alle SAP-landschappen kunnen detecteren en erop kunnen reageren. Met deze kant-en-klare integratie kunnen Security Operations Centers (SOC's) SAP-specifieke waarschuwingen correleren met bedrijfsbrede telemetrie, waardoor bruikbare intelligentie wordt gemaakt die IT-beveiliging verbindt met bedrijfsprocessen.
De pathlock-connector is speciaal gebouwd voor SAP en stuurt standaard alleen beveiligingsrelevaties door, waardoor het gegevensvolume en de ruis worden geminimaliseerd, terwijl de flexibiliteit behouden blijft om alle logboekbronnen door te sturen wanneer dat nodig is. Elke gebeurtenis is verrijkt met de context van bedrijfsprocessen, waardoor Microsoft Sentinel Solution for SAP Analytics operationele patronen van echte bedreigingen kan onderscheiden en prioriteit kan geven aan wat echt belangrijk is.
Deze precisiegestuurde benadering helpt beveiligingsteams fout-positieven drastisch te verminderen, onderzoek te concentreren en de gemiddelde tijd om te detecteren (MTTD) en gemiddelde reactietijd (MTTR) te versnellen. De bibliotheek van Pathlock bestaat uit meer dan 1500 SAP-specifieke detectiehandtekeningen in meer dan 70 logboekbronnen. De oplossing ontdekt complexe aanvalsgedrag, zwakke punten in de configuratie en toegangsafwijkingen.
Door business-context intelligence te combineren met geavanceerde analyses, stelt Pathlock ondernemingen in staat om de nauwkeurigheid van de detectie te verbeteren, responsacties te stroomlijnen en continue controle te behouden in hun SAP-omgevingen, zonder complexiteit of redundante bewakingslagen toe te voegen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ABAPAuditLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Uitgever van bewakingsgegevens toe te wijzen aan regels voor gegevensverzameling. Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
We maken gegevensverzamelingsregel (DCR) en DCE-resources (Data Collection Endpoint). We maken ook een Microsoft Entra app-registratie en wijzen de vereiste machtigingen eraan toe.
Geautomatiseerde implementatie van Azure-resources Als u klikt op 'Resources voor pushconnector implementeren' wordt het maken van DCR- en DCE-resources geactiveerd. Vervolgens wordt er een Microsoft Entra app-registratie met clientgeheim gemaakt en worden machtigingen verleend op de DCR. Met deze instelling kunnen gegevens veilig worden verzonden naar de DCR met behulp van een OAuth v2-clientreferenties.
2. Houd de eindpuntgegevens van de gegevensverzameling en verificatiegegevens bij in uw centrale exemplaar van Pathlock's Cybersecurity Application Controls: Threat Detection and Response
Deel de eindpunt-URL en verificatiegegevens van de gegevensverzameling met de Pathlock-beheerder om het plug en play-doorsturen in Detectie en antwoord op bedreigingen te configureren om gegevens naar het eindpunt voor gegevensverzameling te verzenden. Aarzel niet om contact op te nemen met Pathlock als ondersteuning nodig is.
- Gebruik deze waarde om te configureren als tenant-id in de LogIngestionAPI-referentie.: <variabele waarde die is opgegeven tijdens de installatie>
- Entra toepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra Toepassingsgeheim: <variabele waarde opgegeven tijdens de installatie>
- Gebruik deze waarde om de parameter LogsIngestionURL te configureren bij het implementeren van de variabele waarde IFlow.: <die wordt opgegeven tijdens de installatie>
- Onveranderbare DCR-id: <variabele waarde opgegeven tijdens de installatie>
Perimeter 81-activiteitenlogboeken
Ondersteund door:Perimeter 81
Met de Perimeter 81-connector voor activiteitenlogboeken kunt u eenvoudig uw Perimeter 81-activiteitenlogboeken verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Perimeter81_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Noteer de onderstaande waarden en volg de instructies hier om uw Perimeter 81-activiteitenlogboeken te verbinden met Microsoft Sentinel.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Fosforapparaten
Ondersteund door:Phosphorus Inc.
De Phosphorus Device Connector biedt Fosfor de mogelijkheid om apparaatgegevenslogboeken op te nemen in Microsoft Sentinel via de Rest API van Fosfor. De connector biedt inzicht in de apparaten die zijn ingeschreven bij Fosfor. Deze gegevensconnector haalt apparaatgegevens op, samen met de bijbehorende waarschuwingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Phosphorus_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- REST API-referenties/-machtigingen: Fosfor-API-sleutel is vereist. Zorg ervoor dat voor de API-sleutel die is gekoppeld aan de gebruiker de machtigingen Instellingen beheren zijn ingeschakeld.
Volg deze instructies om machtigingen voor Instellingen beheren in te schakelen.
- Meld u aan bij de fosfortoepassing
- Ga naar 'Instellingen' -> 'Groepen'
- Selecteer de groep waarvan de integratiegebruiker deel uitmaakt
- Navigeer naar Productacties:> schakel de machtiging Instellingen beheren in.
Installatie-instructies:
STAP 1: configuratiestappen voor de Fosfor-API
Volg deze instructies om een Fosfor-API-sleutel te maken.
- Meld u aan bij uw fosforexemplaren
- Navigeer naar Instellingen -> API
- Als de API-sleutel nog niet is gemaakt, drukt u op de knop Toevoegen om de API-sleutel te maken
- De API-sleutel kan nu worden gekopieerd en gebruikt tijdens de configuratie van de fosforapparaatconnector
De fosfortoepassing verbinden met Microsoft Sentinel
STAP 2: vul de onderstaande gegevens in
BELANGRIJK: Voordat u de gegevensconnector fosforapparaat implementeert, moet u de Domain Name van het fosforexemplaren en de Fosfor-API-sleutel(en) beschikbaar hebben
Ping One (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met deze connector worden auditactiviteitenlogboeken van het PingOne Identity-platform opgenomen in Microsoft Sentinel met behulp van een Codeless Connector Framework.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Ping One-connector verbinden met Microsoft Sentinel
Voordat u verbinding maakt met PingOne, moet u ervoor zorgen dat aan de volgende vereisten is voldaan. Raadpleeg het document voor gedetailleerde installatie-instructies, waaronder het verkrijgen van clientreferenties en de omgevings-id.
Clientreferenties U hebt clientreferenties nodig, inclusief uw client-id en clientgeheim.
Omgevings-id
Token genereren en logboeken verzamelen van eindpunt voor auditactiviteiten
- Raster van gegevensconnectors (configureren in de portal)
Prancer-gegevensconnector
Ondersteund door:Prancer PenSuiteAI Integration
De Prancer-gegevensconnector biedt de mogelijkheid om Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] en PAC-gegevens op te nemen en te verwerken via Microsoft Sentinel. Raadpleeg de Prancer-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
prancer_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Aangepaste vereisten opnemen als de connectiviteit vereist- anders douane verwijderen: Beschrijving voor eventuele aangepaste vereisten
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Prancer REST API om logboeken op te halen naar Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
STAP 1: Volg de documentatie op de Prancer-documentatiesite om een scan in te stellen met een Azure-cloudconnector.
STAP 2: Zodra de scan is gemaakt, gaat u naar het menu Integraties van het derde deel voor de scan en selecteert u Sentinel.
STAP 3: Maak de configuratiewizard om te selecteren waarnaar in Azure de resultaten moeten worden verzonden.
STAP 4: Gegevens moeten worden ingevoerd in Microsoft Sentinel voor verwerking.
Premium Microsoft Defender-bedreigingsinformatie
Ondersteund door:Microsoft Corporation
Microsoft Sentinel biedt u de mogelijkheid om bedreigingsinformatie te importeren die is gegenereerd door Microsoft om bewaking, waarschuwingen en opsporing in te schakelen. Gebruik deze gegevensconnector om Indicators of Compromise (IOC's) te importeren uit Premium Microsoft Defender-bedreigingsinformatie (MDTI) in Microsoft Sentinel. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's en bestands-hashes, enzovoort zijn. Opmerking: dit is een betaalde connector. Als u er gegevens uit wilt gebruiken en opnemen, koopt u de SKU 'MDTI API-toegang' in het Partnercentrum.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Proofpoint On Demand Email Security (via Codeless Connector Framework)
Ondersteund door:Proofpoint, Inc.
Proofpoint On Demand Email Connector voor beveiligingsgegevens biedt de mogelijkheid om Proofpoint on Demand Email Protection-gegevens op te halen. Hiermee kunnen gebruikers de traceerbaarheid van berichten controleren, e-mailactiviteit, bedreigingen en gegevensexfiltratie controleren door aanvallers en kwaadwillende insiders. De connector biedt de mogelijkheid om gebeurtenissen in uw organisatie versneld te bekijken en gebeurtenislogboekbestanden in stappen per uur op te halen voor recente activiteiten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ProofpointPODMailLog_CL |
Ja | Ja |
ProofpointPODMessage_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Websocket-API-referenties/-machtigingen: ProofpointClusterID en ProofpointToken zijn vereist. Zie API voor meer informatie.
Installatie-instructies:
Configuratiestappen voor de Proofpoint POD Websocket-API
De PoD-logboek-API staat het gebruik van hetzelfde token niet toe voor meer dan één sessie tegelijk, dus zorg ervoor dat uw token nergens wordt gebruikt.
Voor de Proofpoint Websocket-API-service is een externe Syslog Forwarding-licentie vereist. Raadpleeg de documentatie over het inschakelen en controleren van de PoD-logboek-API. U moet uw cluster-id en beveiligingstoken opgeven.
Haal de cluster-id 1.1 op. Meld u aan bij het controlepunt [Beheerconsole] met Beheer gebruikersreferenties
1.2. In de beheerconsole wordt de cluster-id weergegeven in de rechterbovenhoek.
Haal het API-token 2.1 op. Meld u aan bij het controlepunt [Beheerconsole] met Beheer gebruikersreferenties
2.2. Klik in de beheerconsole op Instellingen -> API-sleutelbeheer
2.3. Klik onder API Key Management op het tabblad PoD-logboekregistratie.
2.4. Een nieuwe API-sleutel ophalen of maken.
- Cluster-id: (cluster_id)
- API-sleutel: (API-sleutel)
- Verbinding in-/uitschakelen
Proofpoint On Demand Email Security (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Proofpoint On Demand Email Connector voor beveiligingsgegevens biedt de mogelijkheid om Proofpoint on Demand Email Protection-gegevens op te halen. Hiermee kunnen gebruikers de traceerbaarheid van berichten controleren, e-mailactiviteit, bedreigingen en gegevensexfiltratie controleren door aanvallers en kwaadwillende insiders. De connector biedt de mogelijkheid om gebeurtenissen in uw organisatie versneld te bekijken en gebeurtenislogboekbestanden in stappen per uur op te halen voor recente activiteiten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ProofpointPODMailLog_CL |
Ja | Ja |
ProofpointPODMessage_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Websocket-API-referenties/-machtigingen: ProofpointClusterID en ProofpointToken zijn vereist. Zie API voor meer informatie.
Installatie-instructies:
Configuratiestappen voor de Proofpoint POD Websocket-API
De PoD-logboek-API staat het gebruik van hetzelfde token niet toe voor meer dan één sessie tegelijk, dus zorg ervoor dat uw token nergens wordt gebruikt.
Voor de Proofpoint Websocket-API-service is een externe Syslog Forwarding-licentie vereist. Raadpleeg de documentatie over het inschakelen en controleren van de PoD-logboek-API. U moet uw cluster-id en beveiligingstoken opgeven.
Haal de cluster-id 1.1 op. Meld u aan bij het controlepunt [Beheerconsole] met Beheer gebruikersreferenties
1.2. In de beheerconsole wordt de cluster-id weergegeven in de rechterbovenhoek.
Haal het API-token 2.1 op. Meld u aan bij het controlepunt [Beheerconsole] met Beheer gebruikersreferenties
2.2. Klik in de beheerconsole op Instellingen -> API-sleutelbeheer
2.3. Klik onder API Key Management op het tabblad PoD-logboekregistratie.
2.4. Een nieuwe API-sleutel ophalen of maken.
- Cluster-id: (cluster_id)
- API-sleutel: (API-sleutel)
- Verbinding in-/uitschakelen
Proofpoint TAP (via Codeless Connector Framework)
Ondersteund door:Proofpoint, Inc.
De Proofpoint Targeted Attack Protection-connector (TAP) biedt de mogelijkheid om Proofpoint TAP-logboeken en -gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt inzicht in bericht- en klikgebeurtenissen in Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Ja | Ja |
ProofPointTAPMessagesBlockedV2_CL |
Ja | Ja |
ProofPointTAPClicksPermittedV2_CL |
Ja | Ja |
ProofPointTAPClicksBlockedV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Proofpoint TAP API-sleutel: een Proofpoint TAP API-service-principal en geheim zijn vereist voor toegang tot de SIEM-API van Proofpoint. Zie Proofpoint SIEM API voor meer informatie.
Installatie-instructies:
Configuratiestappen voor de Proofpoint TAP-API
- Meld u aan bij het Proofpoint TAP-dashboard
- Navigeer naar Instellingen en ga naar het tabblad Verbonden toepassingen
- Klik op Nieuwe referentie maken
- Geef een naam op en klik op Genereren
- Waarden voor service-principal en geheim kopiëren
OPMERKING: Deze connector is afhankelijk van een parser op basis van de Kusto-functie om te werken zoals verwacht ProofpointTAPEvent dat is geïmplementeerd met de Microsoft Sentinel Solution.
- Service-principal: (123456)
- Geheim: (123456)
- Verbinding in-/uitschakelen
Proofpoint TAP (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Proofpoint Targeted Attack Protection-connector (TAP) biedt de mogelijkheid om Proofpoint TAP-logboeken en -gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt inzicht in bericht- en klikgebeurtenissen in Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Ja | Ja |
ProofPointTAPMessagesBlockedV2_CL |
Ja | Ja |
ProofPointTAPClicksPermittedV2_CL |
Ja | Ja |
ProofPointTAPClicksBlockedV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Proofpoint TAP API-sleutel: een Proofpoint TAP API-service-principal en geheim zijn vereist voor toegang tot de SIEM-API van Proofpoint. Zie Proofpoint SIEM API voor meer informatie.
Installatie-instructies:
Configuratiestappen voor de Proofpoint TAP-API
- Meld u aan bij het Proofpoint TAP-dashboard
- Navigeer naar Instellingen en ga naar het tabblad Verbonden toepassingen
- Klik op Nieuwe referentie maken
- Geef een naam op en klik op Genereren
- Waarden voor service-principal en geheim kopiëren
OPMERKING: Deze connector is afhankelijk van een parser op basis van de Kusto-functie om te werken zoals verwacht ProofpointTAPEvent dat is geïmplementeerd met de Microsoft Sentinel Solution.
- Service-principal: (123456)
- Geheim: (123456)
- Verbinding in-/uitschakelen
QscoutAppEventsConnector (via Codeless Connector Framework)
Ondersteund door:Quokka
Qscout-toepassingsgebeurtenissen opnemen in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
QscoutAppEvents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Qscout-organisatie-id: Voor de API is uw organisatie-id in Qscout vereist.
- Api-sleutel voor Qscout-organisatie: Voor de API is de API-sleutel van uw organisatie in Qscout vereist.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van CcF (Codeless Connector Framework) om verbinding te maken met de Qscout-app-gebeurtenisfeed en gegevens op te nemen in Microsoft Sentinel
Geef hieronder de vereiste waarden op:
- Qscout-organisatie-id: (123456)
- Qscout Organization API Key: (abcdxyz)
- Verbinding in-/uitschakelen
Qualys Knowledge Base (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Gegevens van Qualys Knowledge Base-beveiligingsproblemen opnemen in Microsoft Sentinel met behulp van versie 4.0 van de Qualys-API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
QualysKnowledgeBase |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Qualys-API-toegang: vereist een Qualys-gebruikersaccount met leestoegang tot de Knowledge Base-eindpunten.
Installatie-instructies:
Stap 1: Referenties instellen Geef uw Qualys-API-referenties op om gegevensopname uit de Qualys Knowledge Base in te schakelen.
Als u gegevens van qualys-VM wilt verzamelen, moet u de volgende resources opgeven:
API-referenties: gebruikersnaam en wachtwoord voor een account met leestoegang tot de Knowledge Base-API. U vindt de exacte benodigde machtigingen in de documentatie van de Qualys-API.
URL van API-server: de URL van de Qualys-API-server die specifiek is voor uw regio. Hier vindt u de exacte URL van de API-server voor uw regio
URL van API-server: (URL van API-server invoeren)
Gebruikersnaam: (Voer qualys-gebruikersnaam in)
Wachtwoord: (Voer uw Qualys-wachtwoord of -token in) Stap 2: Optionele filters instellen
Configureer optionele filters om aan te passen welke beveiligingsproblemen worden opgenomen. Meer informatie over beschikbare filters vindt u in de documentatie van de Qualys-API.
2a. Filteren op patchstatus Kies ervoor om alleen beveiligingsproblemen weer te geven die wel of niet patchbaar zijn.
2b. Filteren op detectiemethode en verificatietypen Kies ervoor om alleen beveiligingsproblemen te ontvangen die zijn toegewezen aan een bepaalde detectiemethode of die specifieke verificatietypen hebben.
Detectieverificatietypen: (bijvoorbeeld Windows, Oracle, Unix, SNMP (door komma's gescheiden)) Stap 3: Controleer en schakel uw configuratie-instellingen in en schakel de connector in om te beginnen met het opnemen van Qualys Knowledge Base-gegevens in Microsoft Sentinel.
Verbinding in-/uitschakelen
Qualys VM KnowledgeBase (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Kb-connector (Qualys Vulnerability Management) (VM) biedt de mogelijkheid om de meest recente gegevens over beveiligingsproblemen uit de Qualys KB op te nemen in Microsoft Sentinel.
Deze gegevens kunnen worden gebruikt om detecties van beveiligingsproblemen te correleren en te verrijken die zijn gevonden door de gegevensconnector van Qualys Vulnerability Management (VM).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
QualysKB_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Qualys-API-sleutel: de gebruikersnaam en het wachtwoord van de Qualys VM-API zijn vereist. Zie Qualys VM-API voor meer informatie.
Installatie-instructies:
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u log analytics/Microsoft Sentinel blade Logboeken, klikt u op Functies en zoekt u naar de alias QualysVM Knowledgebase en laadt u de functiecode. Klik hier op de tweede regel van de query en voer de hostnaam(s) van uw QualysVM Knowledgebase-apparaat(en) en eventuele andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten om de functie te activeren na installatie/update van de oplossing.
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Volg de stappen voor het gebruik van de Kusto-functiealias , QualysKB
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de Qualys-API
- Meld u aan bij de Qualys Vulnerability Management-console met een beheerdersaccount, selecteer het tabblad Gebruikers en het subtabblad Gebruikers.
- Klik op de vervolgkeuzelijst Nieuw en selecteer Gebruikers.
- Maak een gebruikersnaam en wachtwoord voor het API-account.
- Controleer op het tabblad Gebruikersrollen of de accountrol is ingesteld op Manager en dat toegang is toegestaan tot de GUI en API
- Meld u af bij het beheerdersaccount en meld u aan bij de console met de nieuwe API-referenties voor validatie en meld u vervolgens af bij het API-account.
- Meld u opnieuw aan bij de console met een beheerdersaccount en wijzig de gebruikersrollen van api-accounts, waardoor de toegang tot de GUI wordt verwijderd.
- Sla alle wijzigingen op.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Qualys KB-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals de gebruikersnaam en het wachtwoord van de Qualys-API direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Qualys KB-connector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, API-gebruikersnaam, API-wachtwoord in, werk de URI bij en eventuele extra URI-filterparameters (Deze waarde moet een '&' symbool bevatten tussen elke parameter en mag geen spaties bevatten)
- Voer de URI in die overeenkomt met uw regio. De volledige lijst met API Server-URL's vindt u hier
- Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
- Opmerking: als de implementatie is mislukt omdat de naam van het opslagaccount is gebruikt, wijzigt u de functienaam in een unieke waarde en implementeert u deze opnieuw.
Optie 2: handmatige implementatie van Azure Functions
Deze methode bevat de stapsgewijze instructies voor het handmatig implementeren van de Qualys KB-connector met Azure Function.
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende zeven (7) toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): apiGebruikersnaam apiWachtwoord workspaceID workspaceKey uri-filterParameters logAnalyticsUri (optioneel)
- Voer de URI in die overeenkomt met uw regio. De volledige lijst met API Server-URL's vindt u hier. De
uriwaarde moet het volgende schema volgen:https://<API Server>/api/2.0 - Voeg eventuele extra filterparameters toe voor de
filterParametersvariabele die moeten worden toegevoegd aan de URI. DefilterParameterwaarde moet een '&' symbool tussen elke parameter bevatten en mag geen spaties bevatten. - Opmerking: Als u Azure Key Vault gebruikt, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie. - Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor gedelegeerde cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Qualys Vulnerability Management (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Qualys Vulnerability Management (VM)-gegevensconnector biedt de mogelijkheid om detectiegegevens van de host van beveiligingsproblemen op te nemen in Microsoft Sentinel via de Qualys-API. De connector biedt inzicht in hostdetectiegegevens van vulerbaarheidsscans.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
QualysHostDetectionV3_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- API-toegang en -rollen: zorg ervoor dat de Qualys-VM-gebruiker de rol Lezer of hoger heeft. Als de rol Lezer is, controleert u of API-toegang is ingeschakeld voor het account. De rol Auditor wordt niet ondersteund voor toegang tot de API. Raadpleeg het document Qualys VM Host Detection API en Vergelijking van gebruikersrollen voor meer informatie.
Installatie-instructies:
Qualys Vulnerability Management verbinden met Microsoft Sentinel
OPMERKING: als u gegevens wilt verzamelen voor detecties op basis van host, vouwt u de kolom DetectionList in de tabel uit.
Als u gegevens van qualys-VM wilt verzamelen, moet u de volgende resources opgeven
API-referenties Als u gegevens van qualys-VM wilt verzamelen, hebt u qualys-API-referenties nodig, inclusief uw gebruikersnaam en wachtwoord.
URL van API-server Voor het verzamelen van gegevens van de Qualys-VM hebt u de URL van de Qualys-API-server nodig die specifiek is voor uw regio. Hier vindt u de exacte URL van de API-server voor uw regio
- Gebruikersnaam van Qualys-API: (Gebruikersnaam invoeren)
- Qualys API-wachtwoord: (Wachtwoord invoeren)
- URL van Qualys-API-server: (VOER API Server-URL in)
- Limiet voor afkapping Configureer het maximum aantal hostrecords dat moet worden opgehaald per API-aanroep (bereik 20-5000). Hogere waarden kunnen de prestaties verbeteren, maar kunnen de reactietijden van de API beïnvloeden.
- Verbinding in-/uitschakelen
Radiflow iSID via AMA
Ondersteund door:Radiflow
iSID maakt niet-verstorende bewaking van gedistribueerde ICS-netwerken mogelijk voor wijzigingen in topologie en gedrag, met behulp van meerdere beveiligingspakketten, elk met een unieke mogelijkheid met betrekking tot een specifiek type netwerkactiviteit
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
RadiflowEvent |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht [RadiflowEvent] die wordt geïmplementeerd met de Microsoft Sentinel Solution.
1. Volg de stappen om de gegevensconnector te configureren
Stap A. De CEF (Common Event Format) configureren via AMA-gegevensconnector
Opmerking: CEF-logboeken worden alleen verzameld van Linux-agents
Navigeer naar Microsoft Sentinel werkruimte ---> configuratie ---> blade Gegevensconnector.
Zoek naar de gegevensconnector Common Event Format (CEF) via AMA en open deze.
Controleer Als er geen bestaande DCR is geconfigureerd voor het verzamelen van de vereiste faciliteit van logboeken, maakt u een nieuwe DCR (Regel voor gegevensverzameling).
Opmerking: - Het wordt aanbevolen om minimaal 1.27 versie van AMA-agent te installeren Meer informatie en ervoor te zorgen dat er geen dubbele DCR is, omdat dit logboekduplicatie kan veroorzaken.
Voer de opdracht uit op de pagina CEF via AMA-gegevensconnector om de CEF-collector op de computer te configureren.
Stap B. ISID configureren om logboeken te verzenden met cef
Het doorsturen van logboeken configureren met cef:
Ga naar de sectie Systeemmeldingen van het menu Configuratie.
Selecteer onder Syslog de optie +Toevoegen.
Geef in het dialoogvenster Nieuwe Syslog-server de naam, het IP-adres van de externe server, de poort, het transport op en selecteer Format - CEF.
Druk op Toepassen om het dialoogvenster Syslog toevoegen af te sluiten.
Stap C. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python --version
U moet verhoogde machtigingen (sudo) op uw computer hebben
- Voer de volgende opdracht uit om uw connectiviteit te valideren:: <variabele waarde die is opgegeven tijdens de installatie>
**2. Beveilig uw computer **
Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie
Rapid7 Insight Platform-rapporten voor beveiligingsbeheer (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Rapid7 Insight VM Report-gegevensconnector biedt de mogelijkheid om scanrapporten en gegevens over beveiligingsproblemen op te nemen in Microsoft Sentinel via de REST API van het Rapid7 Insight-platform (beheerd in de cloud). Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Nee | Nee |
NexposeInsightVMCloud_vulnerabilities_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties: InsightVMAPIKey is vereist voor REST API. Zie API voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Insight VM-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht InsightVMAssets en InsightVMVulnerabilities die worden geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: configuratiestappen voor de Insight VM Cloud
Volg de instructies om de referenties te verkrijgen.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de werkruimtegegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de rapid7 Insight Vulnerability Management Report-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de InsightVMAPIKey in, kies InsightVMCloudRegion en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de rapid7 Insight Vulnerability Management Report-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig):
InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Rapid7 Insight Platform Vulnerability Management Reports (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Rapid7 Insight VM Report-gegevensconnector biedt de mogelijkheid om scanrapporten en gegevens over beveiligingsproblemen op te nemen in Microsoft Sentinel via de REST API van het Rapid7 Insight-platform (beheerd in de cloud). Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Rapid7InsightVMCloudAssets |
Ja | Ja |
Rapid7InsightVMCloudVulnerabilities |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- REST API-referenties: InsightVMAPIKey is vereist voor REST API. Zie API voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties
Installatie-instructies:
Volg de instructies voor het configureren van de Rapid7 InsightVM-connector.
Opmerking: Deze gegevensconnector is afhankelijk van een parsers op basis van een Kusto-functie om te werken zoals verwacht InsightVMAssets en InsightVMVulnerabilities die worden geïmplementeerd met de Microsoft Sentinel-oplossing.
1. Configuratiestappen voor Rapid7 Insight VM-cloud
Volg de instructies om de referenties te verkrijgen.
- Genereer in Rapid7 InsightVM een API-sleutel.
- Noteer uw regio en API-sleutel.
- Regio: (us, eu, etc.)
- API-sleutel: (API-sleutel)
2. Verbinding maken
Schakel de Rapid7 Insight VM-connector in.
- Verbinding in-/uitschakelen
Rode siftgebeurtenissen (CCF Push)
Ondersteund door:Red Sift
De Red Sift-connector biedt de mogelijkheid om Red Sift-verificatie en forensische e-mailgebeurtenissen op te nemen in Microsoft Sentinel met behulp van het CCF-pushmodel met DCE + DCR.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
RedSiftAuth_CL |
Nee | Nee |
RedSiftEmailForensics_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Implementeer de DCE, DCR, aangepaste tabel en de Entra app-registratie die wordt gebruikt voor OAuth-clientreferenties.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Red Sift webhook configureren
Gebruik de volgende parameters om Red Sift te configureren om gebeurtenissen te verzenden naar Microsoft Sentinel. Gebruik de juiste streamnaam voor elk gebeurtenistype.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Auth Events Stream Name: <variabele waarde opgegeven tijdens de installatie>
- Email Forensische gebeurtenissen Stream name: <variabele waarde opgegeven tijdens de installatie>
RSA-id plus Beheer-logboekenconnector
Ondersteund door:RSA-ondersteuningsteam
De RSA ID Plus AdminLogs Connector biedt de mogelijkheid om Cloud Beheer Console Auditgebeurtenissen op te nemen in Microsoft Sentinel met behulp van Cloud Beheer API's.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- RSA ID Plus API-verificatie: voor toegang tot de Beheer API's is een geldig JWT-token met Base64URL-codering vereist, ondertekend met de verouderde beheer-API-sleutel van de client.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van CcF (Codeless Connector Framework) om verbinding te maken met de RSA ID Plus Cloud Beheer API's om logboeken op te halen in Microsoft Sentinel.
STAP 1: Verouderde Beheer API-client maken in cloud Beheer console.
Volg de stappen die op deze pagina worden vermeld.
STAP 2 : genereer het met Base64URL gecodeerde JWT-token.
Volg de stappen die op deze pagina worden vermeld onder de kop 'Verouderde beheer-API'.
STAP 3: Configureer de Cloud Beheer-API om te beginnen met het opnemen van Beheer gebeurtenislogboeken in Microsoft Sentinel.
Geef hieronder de vereiste waarden op:
- URL van Beheer API: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
- JWT-token: (Voer uw JWT-token in)
STAP 4 : klik op Verbinding maken
Controleer of alle bovenstaande velden correct zijn ingevuld. Druk op Connect om de connector te starten.
- Verbinding in-/uitschakelen
Rubrik Security Cloud-gegevensconnector (met behulp van Azure Functions)
Ondersteund door:Rubrik
Met de Rubrik Security Cloud-gegevensconnector kunnen beveiligingsteams inzichten van Rubrik's Data Observability-services integreren in Microsoft Sentinel. De inzichten omvatten het identificeren van afwijkend gedrag van bestandssysteem dat is gekoppeld aan ransomware en massaverwijdering, het beoordelen van de straal van een ransomware-aanval en gevoelige gegevensoperatoren om prioriteit te geven aan en sneller mogelijke incidenten te onderzoeken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Ja | Ja |
Rubrik_Ransomware_Data_CL |
Ja | Ja |
Rubrik_ThreatHunt_Data_CL |
Ja | Ja |
Rubrik_Events_Data_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Rubrik-webhook die de logboeken naar Microsoft Sentinel pusht. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Rubrik Microsoft Sentinel-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan uit de volgende gegevens worden gekopieerd) direct beschikbaar hebben.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Rubrik-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Functienaam Werkruimte-ID Werkruimte SleutelafwijkingenTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Rubrik Microsoft Sentinel-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld RubrikXXXXX).
e. Selecteer een runtime: Kies Python 3.8 of hoger.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende waarden (hoofdlettergevoelig): WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://< CustomerId.ods.opinsights.azure.us>.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Stappen na implementatie
1) Het eindpunt van de functie-app ophalen
- Ga naar de pagina Overzicht van Azure functie en klik op het tabblad Functies.
- Klik op de functie met de naam 'RubrikHttpStarter'.
- Ga naar GetFunctionurl en kopieer de functie-URL.
2) Voeg een webhook toe in RubrikSecurityCloud om gegevens te verzenden naar Microsoft Sentinel.
Volg de instructies van de Rubrik-gebruikershandleiding om een webhook toe te voegen om te beginnen met het ontvangen van gebeurtenisgegevens
- Selecteer de Microsoft Sentinel als de webhookprovider
- Voer de gewenste webhooknaam in
- Voer het URL-gedeelte van de gekopieerde Functie-URL in als het webhook-URL-eindpunt en vervang {functionname} door 'RubrikAnomalyOrchestrator', voor de Rubrik Microsoft Sentinel Solution
- Selecteer het EventType als anomalie
- Selecteer de volgende ernstniveaus: Kritiek, Waarschuwing, Informatie
- Kies desgewenst meerdere logboektypen bij het uitvoeren van 'RubrikEventsOrchestrator'
- Herhaal dezelfde stappen om webhooks toe te voegen voor analyse van anomaliedetectie, opsporing van bedreigingen en andere gebeurtenissen.
OPMERKING: terwijl u webhooks toevoegt voor analyse van anomaliedetectie, bedreigingsdetectie en andere gebeurtenissen, vervangt u {functionname} door respectievelijk "RubrikRansomwareOrchestrator", "RubrikThreatHuntOrchestrator" en "RubrikEventsOrchestrator" respectievelijk in gekopieerde functie-url.
Nu zijn we klaar met de configuratie van rubrik Webhook. Zodra de webhookgebeurtenissen zijn geactiveerd, moet u de gebeurtenissen Anomalie, Anomaliedetectieanalyse, Bedreigingszoekactie en Andere gebeurtenissen uit de Rubrik kunnen zien in de respectieve LogAnalytics-werkruimtetabel met de naam 'Rubrik_Anomaly_Data_CL', 'Rubrik_Ransomware_Data_CL', 'Rubrik_ThreatHunt_Data_CL' en 'Rubrik_Events_Data_CL'.
SaaS-beveiliging
Ondersteund door:Valencia Security
Verbindt het SaaS-beveiligingsplatform van SaaS van SaaS Azure Log Analytics via de REST API-interface
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ValenceAlert_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Stap 1: lees de gedetailleerde documentatie
Het installatieproces wordt gedetailleerd beschreven in het Knowledge Base van De beveiliging van Valencia. De gebruiker moet deze documentatie raadplegen voor meer informatie over de installatie en foutopsporing van de integratie.
Stap 2: de toegangsreferenties voor de werkruimte ophalen
De eerste installatiestap bestaat uit het ophalen van zowel uw werkruimte-id als de primaire sleutel van het Microsoft Sentinel-platform. Kopieer de onderstaande waarden en sla deze op voor de configuratie van de integratie van de API-logboek doorstuurserver.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Stap 3: integratie van Sentinel configureren op het Security Platform van Valencia
Ga als beheerder van het Siem Security Platform naar het configuratiescherm, klik op Verbinding maken op de SIEM-integratiekaart en kies Microsoft Sentinel. Plak de waarden uit de vorige stap en klik op Verbinding maken. Tijdens het testen van de verbinding wordt de verbinding getest, dus wanneer het succes wordt gerapporteerd, heeft de verbinding gewerkt.
Salesforce-auditlogboeken (via het connectorframework zonder code)
Ondersteund door:Microsoft Corporation
De Salesforce Audit Logs-gegevensconnector biedt de mogelijkheid om beheerwijzigingen en configuratiewijzigingen van uw Salesforce-organisatie op te nemen in Microsoft Sentinel via de REST API. De connector biedt de mogelijkheid om setup audittrail- en aanmeldingsgeschiedenisgebeurtenissen op te nemen in Microsoft Sentinel waarmee wijzigingen in de configuratie van uw organisatie worden bijgehouden, zodat u de zichtbaarheid van beveiliging en naleving kunt behouden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SalesforceAuditTrail |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot de Salesforce Service Cloud-API: toegang tot de Salesforce Service Cloud-API via een verbonden app is vereist.
Installatie-instructies:
Salesforce verbinden met Microsoft Sentinel
Volg Een verbonden app maken in Salesforce voor OAuth en Een verbonden app configureren voor de OAuth 2.0-clientreferentiestroom om een verbonden app te maken met toegang tot de Salesforce Service Cloud-API. Via deze instructies moet u de consumentensleutel en het consumentengeheim ophalen. Voor Salesforce Domain name gaat u naar Setup, typt u Mijn domein in het vak Snel zoeken en selecteert u Mijn domein om uw domeingegevens weer te geven. Zorg ervoor dat u de domeinnaam invoert zonder een slash (bijvoorbeeld https://your-domain.my.salesforce.com). Vul het onderstaande formulier in met die informatie.
- Raster van gegevensconnectors (configureren in de portal)
SalesForce Real-Time Event Monitoring Connector (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De RTEM-connector (Salesforce Real-Time Event Monitoring) biedt de mogelijkheid om informatie over uw Salesforce-realtimegebeurtenissen met behulp van Object for Event Storage op te nemen in Microsoft Sentinel via de REST API. De connector biedt de mogelijkheid om gebeurtenissen in uw organisatie versneld te bekijken en realtime gebeurtenisgegevens op te halen voor recente activiteiten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SalesForceRealTimeEventMonitoring_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Toegang tot de Salesforce Event Monitoring-API: toegang tot de Salesforce Event Monitoring-API via een verbonden app is vereist.
Installatie-instructies:
Maak verbinding met Salesforce Event Monitoring om realtime gebeurtenisbewakingslogboeken te verzamelen in Microsoft Sentinel
Volg Een verbonden app maken in Salesforce voor OAuth en Een verbonden app configureren voor de OAuth 2.0-clientreferentiestroom om een verbonden app te maken met toegang tot de Salesforce Event Monitoring-API. Via deze instructies moet u de consumentensleutel en het consumentengeheim ophalen. Voor Salesforce Domain name gaat u naar Setup, typt u Mijn domein in het vak Snel zoeken en selecteert u Mijn domein om uw domeingegevens weer te geven. Zorg ervoor dat u de domeinnaam invoert zonder een slash (bijvoorbeeld https://your-domain.my.salesforce.com). Vul het onderstaande formulier in met die informatie.
Opmerking: vereist invoegtoepassingsabonnement: uw Salesforce-account moet Salesforce Shield- of Salesforce Event Monitoring-invoegtoepassingsabonnementen bevatten om deze connector te laten werken.
- Raster van gegevensconnectors (configureren in de portal)
Salesforce Service Cloud (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Salesforce Service Cloud-gegevensconnector biedt de mogelijkheid om informatie over uw operationele salesforce-gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. De connector biedt de mogelijkheid om gebeurtenissen in uw organisatie versneld te bekijken en gebeurtenislogboekbestanden in stappen per uur op te halen voor recente activiteiten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SalesforceServiceCloudV3_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Toegang tot de Salesforce Service Cloud-API: toegang tot de Salesforce Service Cloud-API via een verbonden app is vereist.
Installatie-instructies:
Verbinding maken met de Salesforce Service Cloud-API om te beginnen met het verzamelen van gebeurtenislogboeken in Microsoft Sentinel
Volg Een verbonden app maken in Salesforce voor OAuth en Een verbonden app configureren voor de OAuth 2.0-clientreferentiestroom om een verbonden app te maken met toegang tot de Salesforce Service Cloud-API. Via deze instructies moet u de consumentensleutel en het consumentengeheim ophalen. Voor Salesforce Domain name gaat u naar Setup, typt u Mijn domein in het vak Snel zoeken en selecteert u Mijn domein om uw domeingegevens weer te geven. Zorg ervoor dat u de domeinnaam invoert zonder een slash (bijvoorbeeld https://your-domain.my.salesforce.com). Vul het onderstaande formulier in met die informatie.
Opmerking: Opmerking: Oplossingsversie 3.2.0 en hoger gebruikt de tabel SalesforceServiceCloudV3_CL. De parser is dienovereenkomstig bijgewerkt.
- Raster van gegevensconnectors (configureren in de portal)
Samsung Knox Asset Intelligence
Ondersteund door:Samsung Electronics Co., Ltd.
Met Samsung Knox Asset Intelligence Data Connector kunt u uw mobiele beveiligingsgebeurtenissen en -logboeken centraliseren om aangepaste inzichten te bekijken met behulp van de werkmapsjabloon en incidenten te identificeren op basis van sjablonen voor analyseregels.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Samsung_Knox_Audit_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Entra-app: een Entra-app moet worden geregistreerd en ingericht met de rol Microsoft Metrics Publisher en moet zijn geconfigureerd met certificaat of clientgeheim als referenties voor veilige gegevensoverdracht. Zie de zelfstudie Logboekopname voor meer informatie over het maken, registreren en configureren van Entra van apps.
Installatie-instructies:
Deze gegevensconnector maakt gebruik van de Microsoft Log Ingestion-API om beveiligingsgebeurtenissen vanuit de KAI-oplossing (Samsung Knox Asset Intelligence) naar Microsoft Sentinel te pushen.
STAP 1: een Entra-toepassing maken en registreren
Opmerking: deze gegevensconnector kan verificatie op basis van certificaten of clientgeheimen ondersteunen. Voor verificatie op basis van certificaten kunt u het door de Samsung CA ondertekende certificaat (openbare sleutel) downloaden vanuit de KAI-documentatieportal. Voor verificatie op basis van clientgeheimen kunt u het geheim maken tijdens de registratie van de Entra toepassing. Zorg ervoor dat u de waarde clientgeheim kopieert zodra deze is gegenereerd.
BELANGRIJK: Sla de waarden voor tenant-id (directory) en client-id (toepassings-id) op. Als verificatie op basis van clientgeheim is ingeschakeld, slaat u clientgeheim (geheime waarde) op die is gekoppeld aan de Entra-app.
STAP 2: de implementatie van deze gegevensconnector automatiseren met behulp van de onderstaande arm-sjabloon (Azure Resource Manager)
BELANGRIJK: Voordat u de gegevensconnector implementeert, kopieert u de onderstaande werkruimtenaam die is gekoppeld aan uw Microsoft Sentinel (ook uw Log Analytics)-exemplaar.
- Werkruimtenaam: <variabele waarde opgegeven tijdens de installatie>
Klik op de onderstaande knop om Samsung Knox Intelligence Solution te installeren.
aka.ms\n2. Geef de volgende vereiste velden op: Log Analytics-werkruimtenaam, Log Analytics-werkruimtelocatie, Log Analytics-werkruimteabonnement (ID) en Log Analytics-werkruimteresourcegroep.
STAP 3: details van Microsoft Sentinel gegevensverzameling ophalen
Zodra de ARM-sjabloon is geïmplementeerd, gaat u naar Regels https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrulesvoor gegevensverzameling ? en slaat u waarden op die zijn gekoppeld aan de onveranderbare id (DCR) en het eindpunt voor gegevensverzameling (DCE).
BELANGRIJK: Om end-to-end-integratie mogelijk te maken, zijn informatie met betrekking tot Microsoft Sentinel DCE en DCR vereist voor configuratie in de Samsung Knox Asset Intelligence-portal (STAP 4).
Zorg ervoor dat de Entra toepassing die in STAP 1 is gemaakt, machtigingen heeft om de DCR te gebruiken die is gemaakt om gegevens naar de DCE te verzenden. Raadpleeg /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr om machtigingen dienovereenkomstig toe te wijzen.
STAP 4: maak verbinding met de Samsung Knox Asset Intelligence-oplossing om Microsoft Sentinel te configureren om bepaalde Knox-beveiligingsgebeurtenissen als waarschuwingen te pushen
- Meld u aan bij de Knox Asset Intelligence-beheerportal en navigeer naar Dashboardinstellingen; deze is beschikbaar in de rechterbovenhoek van de portal.
Opmerking: zorg ervoor dat de aanmeldingsgebruiker toegang heeft tot de machtigingen 'Beveiliging' en 'Dashboardweergave en gegevensverzameling beheren'.
Klik op het tabblad Beveiliging om instellingen weer te geven voor Microsoft Sentinel Integratie- en Knox-beveiligingslogboeken.
Schakel op de pagina Integratie van beveiligingsbewerkingen de optie 'Integratie van Microsoft Sentinel inschakelen' in en voer de juiste waarden in de vereiste velden in.
a. Op basis van de gebruikte verificatiemethode raadpleegt u informatie die is opgeslagen in STAP 1 tijdens het registreren van de Entra-toepassing.
b. Raadpleeg de informatie die is opgeslagen in stap 3 voor Microsoft Sentinel DCE en DCR.
Klik op 'Verbinding testen' en controleer of de verbinding is geslaagd.
Voordat u kunt opslaan, configureert u Knox-beveiligingslogboeken door Essentiële of Geavanceerde configuratie (standaard: Essentieel) te selecteren.
Klik op Opslaan om de Microsoft Sentinel integratie te voltooien.
SAP BTP
Ondersteund door:Microsoft Corporation
SAP Business Technology Platform (SAP BTP) brengt gegevensbeheer, analyses, kunstmatige intelligentie, toepassingsontwikkeling, automatisering en integratie samen in één geïntegreerde omgeving.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SAPBTPAuditLog_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Client-id en clientgeheim voor audit-retrieval-API: API-toegang inschakelen in BTP.
Installatie-instructies:
Stap 1: configuratiestappen voor de SAP BTP Audit Retrieval-API
Volg de stappen van SAP , zie Api voor het ophalen van auditlogboeken voor globale accounts in de Cloud Foundry-omgeving. Noteer de URL (AUDIT Retrieval-API-URL), uaa.url (gebruikersaccount en verificatieserver-URL) en de bijbehorende uaa.clientid.
OPMERKING: U kunt BTP-subaccounts massaal onboarden met behulp van de meegeleverde hulpprogramma's.
Gebeurtenissen van SAP BTP verbinden met Microsoft Sentinel
Verbinding maken met behulp van OAuth-clientreferenties
Subaccounts
Elke rij vertegenwoordigt een verbonden subaccount
- Raster van gegevensconnectors (configureren in de portal)
SAP Enterprise Threat Detection, cloudeditie
Ondersteund door:SAP
De GEGEVENSconnector SAP Enterprise Threat Detection, Cloud Edition (ETD) maakt opname van beveiligingswaarschuwingen van ETD in Microsoft Sentinel mogelijk, waardoor kruiscorrelatie, waarschuwingen en opsporing van bedreigingen worden ondersteund.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SAPETDAlerts_CL |
Ja | Ja |
SAPETDInvestigations_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Client-id en clientgeheim voor ETD-ophaal-API: API-toegang in ETD inschakelen.
Installatie-instructies:
Stap 1: configuratiestappen voor de SAP ETD Audit Retrieval-API
Volg de stappen van SAP zie ETD-documenten. Noteer de URL (AUDIT Retrieval-API-URL), uaa.url (gebruikersaccount en verificatieserver-URL) en de bijbehorende uaa.clientid.
OPMERKING: U kunt een of meer ETD-subaccounts onboarden door de stappen te volgen die worden geboden door SAP zie ETD-documenten. Voeg een verbinding toe voor elk subaccount.
TIP: Gebruik de gedeelde blogreeks voor meer informatie.
Gebeurtenissen van SAP ETD verbinden met Microsoft Sentinel
Verbinding maken met behulp van OAuth-clientreferenties
ETD-accounts
Elke rij vertegenwoordigt een verbonden ETD-account
- Raster van gegevensconnectors (configureren in de portal)
SAP LogServ (RISE), S/4HANA Cloud private edition
Ondersteund door:SAP
SAP LogServ is een ECS-service (SAP Enterprise Cloud Services) die is gericht op het verzamelen, opslaan, doorsturen en openen van logboeken. LogServ centraliseert de logboeken van alle systemen, toepassingen en ECS-services die worden gebruikt door een geregistreerde klant.
De belangrijkste functies zijn:
Near Realtime-logboekverzameling: met de mogelijkheid om te integreren in Microsoft Sentinel als SIEM-oplossing.
LogServ vormt een aanvulling op de bestaande bedreigingsbewaking en -detecties van sap-toepassingslagen in Microsoft Sentinel met de logboektypen die eigendom zijn van SAP ECS als systeemprovider. Dit omvat logboeken zoals: SAP Security Audit Log (AS ABAP), HANA-database, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, database van derden, netwerk, DNS, proxy, firewall
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SAPLogServ_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Uitgever van bewakingsgegevens toe te wijzen aan regels voor gegevensverzameling. Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
We maken gegevensverzamelingsregel (DCR) en DCE-resources (Data Collection Endpoint). We maken ook een Microsoft Entra app-registratie en wijzen de vereiste machtigingen eraan toe.
Geautomatiseerde implementatie van Azure-resources Als u klikt op 'Resources voor pushconnector implementeren' wordt het maken van DCR- en DCE-resources geactiveerd. Vervolgens wordt er een Microsoft Entra app-registratie met clientgeheim gemaakt en worden machtigingen verleend op de DCR. Met deze instelling kunnen gegevens veilig worden verzonden naar de DCR met behulp van een OAuth v2-clientreferenties.
2. De eindpuntgegevens en verificatiegegevens van de gegevensverzameling onderhouden in SAP LogServ
Deel de eindpunt-URL en verificatiegegevens van de gegevensverzameling met de SAP LogServ-beheerder om de SAP LogServ te configureren voor het verzenden van gegevens naar het eindpunt voor gegevensverzameling.
Meer informatie in deze blogreeks.
- Gebruik deze waarde om te configureren als tenant-id in de LogIngestionAPI-referentie.: <variabele waarde die is opgegeven tijdens de installatie>
- Entra toepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra Toepassingsgeheim: <variabele waarde opgegeven tijdens de installatie>
- Gebruik deze waarde om de parameter LogsIngestionURL te configureren bij het implementeren van de variabele waarde IFlow.: <die wordt opgegeven tijdens de installatie>
- Onveranderbare DCR-id: <variabele waarde opgegeven tijdens de installatie>
SAP S/4HANA Cloud Public Edition
Ondersteund door:SAP
Met de gegevensconnector SAP S/4HANA Cloud Public Edition (GROW with SAP) kunt u het beveiligingscontrolelogboek van SAP opnemen in de Microsoft Sentinel Solution for SAP, waarbij kruiscorrelatie, waarschuwingen en opsporing van bedreigingen worden ondersteund. Op zoek naar alternatieve verificatiemechanismen? Kijk hier.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ABAPAuditLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Client-id en clientgeheim voor audit-retrieval-API: API-toegang inschakelen in BTP.
- Microsoft Sentinel voor SAP-inhoudspakket (meer dan 60 analytische regels, werkmappen, parsers en meer): Implementeren vanuit Microsoft Sentinel inhoudshub.
Installatie-instructies:
Stap 1: configuratiestappen voor SAP S/4HANA Cloud Public Edition
Als u verbinding wilt maken met SAP S/4HANA Cloud Public Edition, hebt u het volgende nodig:
Een communicatie-rangschikking configureren voor communicatiescenario's SAP_COM_0750
API-URL van SAP S/4HANA Cloud Public Edition-tenant
Geldige communicatiegebruiker (gebruikersnaam en wachtwoord) voor uw SAP S/4HANA Cloud-systeem
Juiste autorisaties voor toegang tot auditlogboekgegevens via OData-services
OPMERKING: Deze connector ondersteunt basisverificatie. Op zoek naar alternatieve verificatiemechanismen? Kijk hier
Gebeurtenissen van SAP S/4HANA Cloud Public Edition verbinden met Microsoft Sentinel Solution for SAP
Verbinding maken met basisverificatie
S/4HANA Cloud Public Edition-verbindingen
Elke rij vertegenwoordigt een verbonden S/4HANA Cloud Public Edition-systeem
- Raster van gegevensconnectors (configureren in de portal)
SecurityBridge Solution voor SAP
Ondersteund door:SecurityBridge
SecurityBridge verbetert de SAP-beveiliging door naadloos te integreren met Microsoft Sentinel, waardoor realtime-bewaking en detectie van bedreigingen in ALLE SAP-omgevingen mogelijk zijn. Met deze integratie kunnen Security Operations Centers (SOC's) SAP-beveiligingsevenementen consolideren met andere organisatiegegevens, waardoor een uniforme weergave van het bedreigingslandschap wordt geboden. SecurityBridge maakt gebruik van ai-analyses en de Security Copilot van Microsoft en identificeert geavanceerde aanvalspatronen en beveiligingsproblemen in SAP-toepassingen, waaronder ABAP-codescans en configuratie-evaluaties. De oplossing ondersteunt schaalbare implementaties in complexe SAP-landschappen, on-premises, in de cloud of hybride omgevingen. Door de kloof tussen IT- en SAP-beveiligingsteams te overbruggen, stelt SecurityBridge organisaties in staat om proactief bedreigingen te detecteren, te onderzoeken en erop te reageren, waardoor de algehele beveiligingspostuur wordt verbeterd.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ABAPAuditLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Uitgever van bewakingsgegevens toe te wijzen aan regels voor gegevensverzameling. Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
We maken gegevensverzamelingsregel (DCR) en DCE-resources (Data Collection Endpoint). We maken ook een Microsoft Entra app-registratie en wijzen de vereiste machtigingen eraan toe.
Geautomatiseerde implementatie van Azure-resources Als u klikt op 'Resources voor pushconnector implementeren' wordt het maken van DCR- en DCE-resources geactiveerd. Vervolgens wordt er een Microsoft Entra app-registratie met clientgeheim gemaakt en worden machtigingen verleend op de DCR. Met deze instelling kunnen gegevens veilig worden verzonden naar de DCR met behulp van een OAuth v2-clientreferenties.
2. De eindpuntgegevens en verificatiegegevens van de gegevensverzameling onderhouden in SecurityBridge
Deel de eindpunt-URL en verificatiegegevens van de gegevensverzameling met de SecurityBridge-beheerder om securitybridge te configureren voor het verzenden van gegevens naar het eindpunt voor gegevensverzameling.
Meer informatie op onze KB-pagina https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface
- Gebruik deze waarde om te configureren als tenant-id in de LogIngestionAPI-referentie.: <variabele waarde die is opgegeven tijdens de installatie>
- Entra toepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra Toepassingsgeheim: <variabele waarde opgegeven tijdens de installatie>
- Gebruik deze waarde om de parameter LogsIngestionURL te configureren bij het implementeren van de variabele waarde IFlow.: <die wordt opgegeven tijdens de installatie>
- Onveranderbare DCR-id: <variabele waarde opgegeven tijdens de installatie>
- Sentinel voor SAP Stream-id: <variabele waarde opgegeven tijdens de installatie>
- SecurityBridge_CL Stream-id: <variabele waarde opgegeven tijdens de installatie>
Semperis Lightning-logboeken
Ondersteund door:Semperis
De Semperis Lightning-connector gebruikt Azure Functions om Semperis Lightning-identiteitsbeveiligingsgegevens op te nemen in Microsoft Sentinel. De connector implementeert een Azure-functie en verzamelt gegevens in aangepaste Log Analytics-tabellen voor onderzoek en opsporing van bedreigingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
LightningTier0Nodes_CL |
Nee | Nee |
LightningAttackPaths_CL |
Nee | Nee |
LightningIOEResults_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Semperis Lightning API-referenties: een Semperis Lightning-API-sleutel en de geselecteerde zone (na of eu) zijn vereist om de connector voor Semperis Lightning te verifiëren.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met Semperis Lightning en gegevens op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Zorg ervoor dat de werkruimte is toegevoegd aan Microsoft Sentinel voordat u de connector implementeert.
STAP 1: Toegang configureren voor Semperis Lightning
- Meld u aan bij uw Semperis Lightning-tenant.
- Maak of haal een geldige Semperis-API-sleutel op voor connectortoegang.
- Bevestig uw Semperis Zone-waarde (na voor Noord-Amerika of eu voor Europa) voor gebruik tijdens de implementatie.
STAP 2: de connector Semperis Lightning Logs en de bijbehorende Azure-functie implementeren
Klik hieronder op de knop Implementeren naar Azure.
STAP 3: de connectorparameters instellen
- Selecteer het voorkeursabonnement en een bestaande resourcegroep.
- Voer een bestaande Resource-id van de Log Analytics-werkruimte in die bij de resourcegroep hoort.
- Klik op Volgende.
- Voer uw Semperis-API-sleutel in en selecteer de Semperis-zone.
- U kunt eventueel het connectorschema aanpassen (standaard: elke 1 uur).
- Controleer de instellingen en klik op Maken.
SentinelOne (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de SentinelOne-gegevensconnector kunnen logboeken van de SentinelOne-API worden opgenomen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework. Het maakt gebruik van de SentinelOne-API om logboeken op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen beveiligingsgegevens in een aangepaste tabel worden geparseerd, zodat query's deze niet opnieuw hoeven te parseren, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SentinelOneActivities_CL |
Ja | Ja |
SentinelOneAgents_CL |
Ja | Ja |
SentinelOneGroups_CL |
Ja | Ja |
SentinelOneThreats_CL |
Ja | Ja |
SentinelOneAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Configuratiestappen voor de SentinelOne-API Volg de instructies om de referenties te verkrijgen. U kunt ook de handleiding volgen om de API-sleutel te genereren.
Url voor SentinelOne-beheer 1.1 ophalen. Meld u aan bij sentinelOne [beheerconsole] met Beheer gebruikersreferenties 1.2. Kopieer in de [beheerconsole] de BOVENSTAANDe URL-koppeling zonder het URL-pad.
API-token 2.1 ophalen. Meld u aan bij sentinelOne [beheerconsole] met Beheer gebruikersreferenties 2.2. Klik in de [Beheerconsole] op [Instellingen] 2.3. Klik in de weergave [Instellingen] op [GEBRUIKERS]. 2.4. Klik op de pagina [GEBRUIKERS] op [Servicegebruikers] -> [Acties] -> [Nieuwe servicegebruiker maken]. 2.5. Kies [Vervaldatum] en [bereik] (per site) en klik op [Gebruiker maken]. 2.6. Zodra de [servicegebruiker] is gemaakt, kopieert u het [API-token] van de pagina en drukt u op [Opslaan]
-
Url van SentinelOne-beheer: (
https://example.sentinelone.net/) - API-token: (API-token)
- Verbinding in-/uitschakelen
Seraphic Web Security
Ondersteund door:Seraphic Security
De Gegevensconnector van Seraphic Web Security biedt de mogelijkheid om gebeurtenissen en waarschuwingen van Seraphic Web Security op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SeraphicWebSecurity_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Seraphic-API-sleutel: API-sleutel voor Microsoft Sentinel verbonden met uw Seraphic Web Security-tenant. Als u deze API-sleutel voor uw tenant wilt ophalen, gaat u naar de pagina Integraties in uw Seraphic-console.
Installatie-instructies:
Verbinding maken met Seraphic Web Security
Voeg de integratienaam, de Seraphic-integratie-URL en de naam van uw werkruimte in voor Microsoft Sentinel:
Silverfort Beheer Console
Ondersteund door:Silverfort
Met de Silverfort ITDR Beheer Console-connectoroplossing kunt u Silverfort-gebeurtenissen opnemen en aanmelden bij Microsoft Sentinel. Silverfort biedt op Syslog gebaseerde gebeurtenissen en logboekregistratie met behulp van Cef (Common Event Format). Door uw SILVERFORT ITDR-Beheer Console CEF-gegevens door te sturen naar Microsoft Sentinel, kunt u profiteren van sentinels's zoek- & correlatie, waarschuwingen en bedreigingsinformatieverrijking voor Silverfort-gegevens. Neem contact op met Silverfort of raadpleeg de Silverfort-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
1. Linux Syslog-agentconfiguratie
Installeer en configureer de Linux agent om uw Ceflog-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux machine selecteren of maken
Selecteer of maak een Linux machine die Microsoft Sentinel gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel deze machine zich in uw on-premises omgeving, Azure of andere clouds kan bevinden.
1.2 Installeer de CEF-collector op de Linux machine
Installeer de Microsoft Monitoring Agent op uw Linux machine en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version.
U moet verhoogde machtigingen (sudo) hebben op uw computer.
- Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:: <variabele waarde die tijdens de installatie is opgegeven>
2. CEF-logboeken (Common Event Format) doorsturen naar de Syslog-agent
Stel uw beveiligingsoplossing in om Syslog-berichten in CEF-indeling naar de proxycomputer te verzenden. Zorg ervoor dat u de logboeken verzendt naar poort 514 TCP op het IP-adres van de machine.
3. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version
U moet verhoogde machtigingen (sudo) op uw computer hebben
- Voer de volgende opdracht uit om uw connectiviteit te valideren:: <variabele waarde die is opgegeven tijdens de installatie>
**4. Beveilig uw computer **
Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie
SlackAudit (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De SlackAudit-gegevensconnector biedt de mogelijkheid om Slack Audit-logboeken op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SlackAuditV2_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Gebruikersnaam, SlackAudit-API-sleutel & actietype: als u het toegangstoken wilt genereren, maakt u een nieuwe toepassing in Slack, voegt u vervolgens de benodigde bereiken toe en configureert u de omleidings-URL. Raadpleeg de koppeling voor gedetailleerde instructies voor het genereren van het toegangstoken, de gebruikersnaam en de actienaamlimiet.
Installatie-instructies:
**SlackAudit verbinden met Microsoft Sentinel
**
Als u gegevens van SlackAudit wilt opnemen naar Microsoft Sentinel, moet u hieronder op de knop Domein toevoegen klikken. Vervolgens krijgt u een pop-up om de details in te vullen, de vereiste informatie op te geven en op Verbinding maken te klikken. U kunt de gebruikersnamen en acties zien die zijn verbonden in het raster.
- Raster van gegevensconnectors (configureren in de portal)
Snowflake (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Snowflake-gegevensconnector biedt de mogelijkheid om snowflake-aanmeldingsgeschiedenislogboeken, querygeschiedenislogboeken, logboeken voor gebruikerstoekenningen, roltoekenningenlogboeken, laadgeschiedenislogboeken, gerealiseerde vernieuwingsgeschiedenislogboeken, rollenlogboeken, tabellenlogboeken, logboeken met metrische gegevens voor tabelopslag, gebruikerslogboeken in Microsoft Sentinel op te nemen met behulp van de Snowflake SQL API. Raadpleeg de documentatie van Snowflake SQL API voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SnowflakeLogin_CL |
Ja | Ja |
SnowflakeQuery_CL |
Ja | Ja |
SnowflakeUserGrant_CL |
Ja | Ja |
SnowflakeRoleGrant_CL |
Ja | Ja |
SnowflakeLoad_CL |
Ja | Ja |
SnowflakeMaterializedView_CL |
Ja | Ja |
SnowflakeRoles_CL |
Ja | Ja |
SnowflakeTables_CL |
Ja | Ja |
SnowflakeTableStorageMetrics_CL |
Ja | Ja |
SnowflakeUsers_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Snowflake verbinden met Microsoft Sentinel
OPMERKING: als u ervoor wilt zorgen dat gegevens in afzonderlijke kolommen voor elk veld worden weergegeven, voert u de parser uit met de functie Snowflake()
Als u gegevens van Snowflake wilt verzamelen, moet u de volgende resources opgeven
Account-id Als u gegevens van Snowflake wilt verzamelen, hebt u de Account-id van Snowflake nodig.
Programmatisch toegangstoken Voor het verzamelen van gegevens uit Snowflake hebt u het Snowflake Programmatic Access Token nodig
Raadpleeg de connectorzelfstudie voor gedetailleerde instructies voor het ophalen van de account-id en het programmatisch toegangstoken.
- Raster van gegevensconnectors (configureren in de portal)
SOC Prime Platform Audit Logs Data Connector
Ondersteund door:SOC Prime
Met de SOC Prime Audit Logs-gegevensconnector kunt u logboeken van de SOC Prime Platform-API opnemen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework. De SOC Prime Platform-API wordt gebruikt om auditlogboeken van het SOC Prime-platform op te halen en ondersteunt op DCR gebaseerde opnametijdtransformaties waarmee de ontvangen beveiligingsgegevens in een aangepaste tabel worden geparseerd, wat resulteert in betere prestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SOCPrimeAuditLogs_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Configuratiestappen voor de SOC Prime Platform-API Volg de instructies om de referenties te verkrijgen. u kunt deze handleiding ook volgen om een persoonlijke API-sleutel te genereren.
API-sleutel ophalen
- Meld u aan bij het SOC Prime Platform
- Klik op het pictogram [Account] -> [Platforminstellingen] -> [API]
- Klik op [Nieuwe sleutel toevoegen]
- Geef in het modaal dat wordt weergegeven uw sleutel een duidelijke naam, stel de vervaldatum en product-API's in waartoe de sleutel toegang biedt
- Klik op [Genereren]
- Kopieer de sleutel en sla deze op een veilige plaats op. U kunt deze niet meer weergeven zodra u deze modale
- SOC Prime-API-sleutel: (API-sleutel)
- Verbinding in-/uitschakelen
Sonrai-gegevensconnector
Ondersteund door:N.v.v.
Gebruik deze gegevensconnector om te integreren met Sonrai Security en sonrai-tickets rechtstreeks naar Microsoft Sentinel te laten verzenden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Sonrai_Tickets_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Sonrai Security Data Connector
- Ga naar sonrai-beveiligingsdashboard.
- Klik linksonder op integraties.
- Selecteer Microsoft Sentinel in de lijst met beschikbare integraties.
- Vul het formulier in met behulp van de onderstaande informatie.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Sophos Endpoint Protection (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De Sophos Endpoint Protection-gegevensconnector biedt de mogelijkheid om Sophos-gebeurtenissen en Sophos-waarschuwingen op te nemen in Microsoft Sentinel. Raadpleeg de documentatie van Sophos Central Beheer voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SophosEPEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot de Sophos Endpoint Protection-API: toegang tot de Sophos Endpoint Protection-API via een service-principal is vereist.
Installatie-instructies:
Maak verbinding met de Sophos Endpoint Protection-API om te beginnen met het verzamelen van gebeurtenis- en waarschuwingslogboeken in Microsoft Sentinel
Volg de Sophos-instructies om een service-principal te maken met toegang tot de Sophos-API. Hiervoor is de rol ReadOnly van de service-principal vereist. Via deze instructies moet u de client-id, het clientgeheim, de tenant-id en de gegevensregio ophalen. Vul de onderstaande gegevens in het formulier in.
- Sophos-tenant-id: (Sophos-tenant-id)
- Sophos Tenant Data Region: (eu01, eu02, us01, us02 of us03)
- Raster van gegevensconnectors (configureren in de portal)
Symantec Integrated Cyber Defense Exchange
Ondersteund door:Microsoft Corporation
Met de Symantec ICDx-connector kunt u eenvoudig uw logboeken voor Symantec-beveiligingsoplossingen verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SymantecICDx_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Symantec ICDx configureren en verbinden
- Klik op de ICDx-navigatiebalk op Configuratie.
- Klik boven aan het scherm Configuratie op Doorstuurservers en klik naast Microsoft Sentinel (Log Analytics) op Toevoegen.
- Klik in het venster Microsoft Sentinel (Log Analytics) dat wordt geopend op Geavanceerd weergeven. Raadpleeg de documentatie voor het instellen van geavanceerde functies.
- Zorg ervoor dat u een naam instelt voor de doorstuurserver en stel onder Azure Doel de volgende vereiste velden in:
- Werkruimte-id: plak de werkruimte-id van de pagina Microsoft Sentinel portalconnector.
- Primaire sleutel: plak de primaire sleutel op de pagina van de Microsoft Sentinel portalconnector.
- Aangepaste logboeknaam: typ de naam van het aangepaste logboek in de Microsoft Azure Portal Log Analytics-werkruimte waarnaar u gebeurtenissen wilt doorsturen. De standaardwaarde is SymantecICDx.
- Klik op Opslaan en om de doorstuurserver te starten, ga naar Opties > Meer en klik op Start.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Synqly-integratieconnector
Ondersteund door:Synqly
De Synqly-connector biedt de mogelijkheid om beveiligingsgebeurtenissen van Synqly-integraties naar Microsoft Sentinel te pushen met behulp van de Azure Logboekopname-API. Gebeurtenissen worden automatisch genormaliseerd naar ASIM-tabellen (Advanced Security Information Model) voor gebruik met Microsoft Sentinel analyses, werkmappen en opsporingsquery's.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra ID: Rol van toepassingsontwikkelaar (of hoger) om app-registraties te maken.
- Microsoft Azure: de rol Eigenaar of Beheerder voor gebruikerstoegang voor de resourcegroep om DCR te implementeren en de rol Uitgever van bewakingsgegevens toe te wijzen.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Deze connector maakt push-gebaseerde opname van beveiligingsgebeurtenissen van Synqly-integraties in Microsoft Sentinel mogelijk. Gebeurtenissen worden automatisch genormaliseerd naar ASIM-tabellen (Advanced Security Information Model).
Connectorresources implementeren Als u op Implementeren klikt, maakt u een regel voor gegevensverzameling (DCR), een eindpunt voor gegevensverzameling (DCE) en Entra toepassing met de benodigde machtigingen om gegevens veilig naar Microsoft Sentinel te verzenden.
2. Aanvullende machtigingen verlenen (op basis van use-case)
Er zijn mogelijk extra rollen vereist, afhankelijk van hoe u Synqly wilt gebruiken met Microsoft Sentinel.
Sink-connector (alleen-schrijven): er zijn geen aanvullende machtigingen nodig. SIEM-connector (lezen/schrijven): wijs Microsoft Sentinel inzender toe rol voor de Entra toepassing via de gebruikersinterface van Azure in uw Log Analytics-werkruimte.
Zie synqly-documentatie voor gedetailleerde installatiehandleidingen.
3. Push uw logboeken naar de werkruimte
Geef deze parameters op voor uw Synqly-integratie. De Synqly-service verwerkt automatisch de technische details van gegevensopname, inclusief opmaakgebeurtenissen voor een van de 10 ondersteunde ASIM-schema's (Authentication, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession).
Belangrijk: Gebeurtenissen met niet-ondersteunde schematypen worden op de achtergrond verwijderd door Azure. Als de verwachte gegevens niet worden weergegeven, controleert u bij uw Synqly-integratieprovider of er gebeurtenissen worden verzonden met een van de ondersteunde schematypen die hierboven worden vermeld.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- naam van Stream: <variabele waarde opgegeven tijdens de installatie>
Syslog via AMA
Ondersteund door:Microsoft Corporation
Syslog is een protocol voor gebeurtenislogboekregistratie dat gebruikelijk is voor Linux. Toepassingen verzenden berichten die kunnen worden opgeslagen op de lokale computer of worden bezorgd bij een Syslog-collector. Wanneer de Agent voor Linux is geïnstalleerd, configureert deze de lokale Syslog-daemon om berichten door te sturen naar de agent. De agent verzendt het bericht vervolgens naar de werkruimte.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Syslog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Stilzwijgend gecompromitteerde referenties
Ondersteund door:Data443 Risk Mitigation, Inc.
Gecompromitteerde referentieresultaten van TacitRed opnemen met behulp van het Common Connector Framework (CCF).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TacitRed_Findings_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Stilzwijgende API-sleutel: API-sleutel die is opgeslagen in Azure Key Vault of wordt verstrekt tijdens de implementatie.
Installatie-instructies:
Verbinding maken met stilzwijgend gecompromitteerde referenties
Als u de stilzwijgende connector wilt inschakelen, geeft u hieronder uw API-sleutel op en klikt u op Verbinding maken.
Voor betere beveiliging kunt u Key Vault-integratie inschakelen om de API-sleutel op te slaan en op te halen.
- Stilzwijgende API-sleutel: (Voer uw stilzwijgende API-sleutel in)
- Verbinding in-/uitschakelen
Talon Insights
Ondersteund door:Talon Security
Met de Connector voor Beveiligingslogboeken van Talon kunt u eenvoudig uw Talon-gebeurtenissen en auditlogboeken verbinden met Microsoft Sentinel, dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Talon_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Noteer de onderstaande waarden en volg de instructies hier om uw Talon Security-gebeurtenissen en auditlogboeken te verbinden met Microsoft Sentinel.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
De CCF-pushconnector van Tanium
Ondersteund door:Tanium Inc.
Deze gegevens worden Microsoft Sentinel werkmappen en playbooks ingevoerd, zodat analisten incidenten kunnen verrijken, eindpuntrisico's en statussen kunnen visualiseren en onderzoeks- en reactiewerkstromen kunnen automatiseren. Ga voor meer informatie over Tanium naar https://www.tanium.com/contact-us/
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TaniumComplyCompliance_CL |
Nee | Nee |
TaniumComplyVulnerabilities_CL |
Nee | Nee |
TaniumDefenderHealth_CL |
Nee | Nee |
TaniumDiscoverUnmanagedAssets_CL |
Nee | Nee |
TaniumHighUptime_CL |
Nee | Nee |
TaniumPatchCoverageStatus_CL |
Nee | Nee |
TaniumPatchListApplicability_CL |
Nee | Nee |
TaniumPatchListCompliance_CL |
Nee | Nee |
TaniumSCCMClientHealth_CL |
Nee | Nee |
TaniumThreatResponse_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR).
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Met deze connector kan uw Tanium-server basisinventarisgegevens rechtstreeks naar Microsoft Sentinel pushen via de Azure Monitor Ingestion-API.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van een Log Analytics-tabel en een regel voor gegevensverzameling (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen de Tanium-gegevens veilig naar de DCR worden verzonden met behulp van een Entra-token.
2. Tanium-verbindingen configureren
Gebruik de volgende parameters om uw Tanium-verbindingen te configureren om gegevens naar de werkruimte te pushen.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Logboeken voor nalevingsresultaten Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Logboeken met beveiligingsproblemen in naleving Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Defender Health Logs Stream Name: <variabele waarde opgegeven tijdens de installatie>
- Onbeheerde activa detecteren statuslogboeken Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Logboeken met hoge uptime Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Patchdekkingsstatuslogboeken Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Toepassingslogboeken patchlijst Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Nalevingslogboeken patchlijst Stream naam: <variabele waarde opgegeven tijdens de installatie>
- SCCM clientstatuslogboeken Stream naam: <variabele waarde opgegeven tijdens de installatie>
- Waarschuwingslogboeken voor bedreigingsreacties Stream naam: <variabele waarde opgegeven tijdens de installatie>
3. De verbinding maken in Tanium
Nadat u de gegevensconnector in Azure hebt geïmplementeerd, maakt u de vereiste verbinding op uw Tanium-server in de connect-module. Zie Tanium Help voor meer informatie over de Connect-module
- Download het importbestand voor de verbinding.
- Vervang de tijdelijke aanduidingen door de parameters die hierboven worden weergegeven.
- Open in uw Tanium-server de module Verbinding maken.
- Gebruik de importfunctionaliteit om nieuwe verbindingen te importeren.
Team Cymru Scout Data Connector (met behulp van Azure Functions)
Ondersteund door:Team Cymru
Met de TeamCymruScout-gegevensconnector kunnen gebruikers IP-, domein- en accountgebruiksgegevens van Team Cymru Scout in Microsoft Sentinel voor verrijking.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Foundation_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Details_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Communications_CL |
Nee | Nee |
Cymru_Scout_IP_Data_PDNS_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Fingerprints_CL |
Nee | Nee |
Cymru_Scout_IP_Data_OpenPorts_CL |
Nee | Nee |
Cymru_Scout_IP_Data_x509_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Summary_Details_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Nee | Nee |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Nee | Nee |
Cymru_Scout_Account_Usage_Data_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Machtiging voor het toewijzen van een rol aan de geregistreerde toepassing: machtiging om een rol toe te wijzen aan de geregistreerde toepassing in Microsoft Entra ID is vereist.
- Team Cymru Scout Referenties/machtigingen: Team Cymru Scout-accountreferenties (gebruikersnaam, wachtwoord) zijn vereist.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Team Cymru Scout-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: stappen voor het maken van Team Cymru Scout API-sleutel
Volg deze instructies om een Team Cymru Scout-API-sleutel te maken.
- Raadpleeg het document API-sleutels om een API-sleutel te genereren voor gebruik als alternatieve vorm van autorisatie.
STAP 2: stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van TeamCymruScout-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 3: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van TeamCymruScout-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van TeamCymruScout-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 4: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
STAP 5: De rol van inzender toewijzen aan de toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 6: CSV uploaden met aanklachten in volglijst
Volg de stappen in deze sectie om csv met indicatoren in de volglijst te uploaden:
- Ga in de Azure Portal naar Microsoft Sentinel en selecteer uw werkruimte.
- Ga naar Volglijst onder de sectie Configuratie in het linkerdeelvenster.
- Klik op TeamCymruScoutDomainData en selecteer vervolgens Bulksgewijs bijwerken in volglijst bijwerken.
- Upload uw CSV-bestanden met domeinindicatoren in Bestandsinvoer uploaden en klik op Volgende: Beoordelen+maken.
- Zodra de validatie is voltooid, klikt u op Bijwerken.
- Volg dezelfde stappen om teamcymruScoutIPData watchlist voor IP-indicatoren bij te werken.
Referentiekoppeling:Een volglijst bulksgewijs bijwerken
STAP 7: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de TeamCymruScout-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) direct beschikbaar hebben.., evenals de Referenties van TeamCymruScout.
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de TeamCymruScout-gegevensconnector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Location WorkspaceName Function Name TeamCymruScoutBaseURL AuthenticationType Username Password APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de TeamCymruScout-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld CymruScoutXXXXX).
e. Selecteer een runtime: Kies Python 3.12 of hoger.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende waarden (hoofdlettergevoelig): CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES
Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Tenable Identity Exposure
Ondersteund door:Tenable
Met de Tenable Identity Exposure-connector kunnen indicatoren van blootstelling, indicatoren van aanvallen en trailflow-logboeken worden opgenomen in Microsoft Sentinel. Met de verschillende werkboeken en gegevensparseerprogramma's kunt u eenvoudiger logboeken bewerken en uw Active Directory-omgeving bewaken. Met de analytische sjablonen kunt u reacties met betrekking tot verschillende gebeurtenissen, blootstellingen en aanvallen automatiseren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Tenable_IE_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot TenableIE-configuratie: machtigingen voor het configureren van de syslog-waarschuwingsengine
Installatie-instructies:
Deze gegevensconnector is afhankelijk van afad_parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd met de Microsoft Sentinel Solution.
1. De Syslog-server configureren
U hebt eerst een Linux Syslog-server nodig waarnaar TenableIE logboeken verzendt. Normaal gesproken kunt u rsyslog uitvoeren op Ubuntu. U kunt deze server vervolgens naar wens configureren, maar het wordt aanbevolen om TenableIE-logboeken in een afzonderlijk bestand uit te voeren.
Configureer rsyslog om logboeken van uw TenableIE IP-adres te accepteren. Kies een van de volgende opties:
Optie 1: AllowedSender-instructie gebruiken
Deze configuratie beperkt welke hosts logboeken naar uw syslog-server op netwerkniveau kunnen verzenden. Het is veiliger omdat onbevoegde verbindingen worden geweigerd voordat ze worden verwerkt.
- Download het configuratiebestand: 80-tenable-allowedsender.conf
- Uitvoeren in sudo-modus:
sudo -i - Stel het IP-adres van TenableIE in:
export TENABLE_IE_IP={Enter your IP address} - De opdrachten uitvoeren vanuit het gedownloade configuratiebestand
- Rsyslog opnieuw starten:
systemctl restart rsyslog
Optie 2: Logboeken filteren op bron-IP (voor omgevingen met meerdere Syslog-bronnen)
Deze configuratie accepteert alle binnenkomende logboeken, maar verwerkt alleen de logboeken van het opgegeven IP-adres van TenableIE. Dit is met name handig wanneer u meerdere Syslog-servers of toepassingen hebt die logboeken naar dezelfde syslog-server verzenden en u alleen TenableIE-logboeken selectief wilt verwerken.
- Download het configuratiebestand: 80-tenable-filter.conf
- Uitvoeren in sudo-modus:
sudo -i - Stel het IP-adres van TenableIE in:
export TENABLE_IE_IP={Enter your IP address} - De opdrachten uitvoeren vanuit het gedownloade configuratiebestand
- Rsyslog opnieuw starten:
systemctl restart rsyslog
2. De Microsoft-agent voor Linux installeren en onboarden
De OMS-agent ontvangt de TenableIE syslog-gebeurtenissen en publiceert deze in Microsoft Sentinel :
Kies waar u de agent wilt installeren:
Agent installeren op Azure Linux virtuele machine
Selecteer de computer waarop u de agent wilt installeren en klik vervolgens op Verbinding maken.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Agent installeren op een niet-Azure Linux machine
Download de agent op de relevante computer en volg de instructies.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
3. Agentlogboeken op de Syslog-server controleren
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
4. TenableIE configureren om logboeken naar uw Syslog-server te verzenden
Ga in de TenableIE-portal naar Systeem, Configuratie en vervolgens Naar Syslog. Van daaruit kunt u een nieuwe Syslog-waarschuwing maken voor uw Syslog-server.
Zodra dit is gebeurd, controleert u of de logboeken correct zijn verzameld op uw server in een afzonderlijk bestand (hiervoor kunt u de knop De configuratie testen gebruiken in de syslog-waarschuwingsconfiguratie in TenableIE). Als u de quickstartsjabloon hebt gebruikt, luistert de Syslog-server standaard op poort 514 in UDP en 1514 in TCP, zonder TLS.
Opmerking: met beide configuratieopties uit stap 1 wordt de syslog-server geconfigureerd om te luisteren op poort 514 voor zowel UDP- als TCP-verbindingen.
5. De aangepaste logboeken configureren
Configureer de agent om de logboeken te verzamelen.
- Ga in Microsoft Sentinel naar Configuratie -> Instellingen -> Werkruimte-instellingen -> Aangepaste logboeken.
- Klik op Aangepast logboek toevoegen.
- Upload een voorbeeld TenableIE.log Syslog-bestand vanaf de Linux computer waarop de Syslog-server wordt uitgevoerd en klik op Volgende
- Stel het recordscheidingsteken in op Nieuwe regel als dit nog niet het geval is en klik op Volgende.
- Selecteer Linux en voer het bestandspad naar het Syslog-bestand in, klik op + en vervolgens op Volgende. De standaardlocatie van het bestand is
/var/log/TenableIE.logals u een Tenable versie <3.1.0 hebt, moet u ook deze Linux-bestandslocatie/var/log/AlsidForAD.logtoevoegen. - Stel de naam in op Tenable_IE_CL (Azure automatisch _CL aan het einde van de naam wordt toegevoegd, moet er slechts één zijn, zorg ervoor dat de naam niet Tenable_IE_CL_CL is).
- Klik op Volgende, u ziet een cv en klik vervolgens op Maken
6. Veel plezier!
U moet nu logboeken kunnen ontvangen in de Tenable_IE_CL tabel, logboekgegevens kunnen worden geparseerd met behulp van de functie afad_parser(), die wordt gebruikt door alle queryvoorbeelden, werkmappen en analysesjablonen.
Tenable Vulnerability Management (met behulp van Azure Functions)
Ondersteund door:Tenable
De TVM-gegevensconnector biedt de mogelijkheid om gegevens over activa, beveiligingsproblemen, naleving, WAS-assets en WAS-beveiligingsproblemen op te nemen in Microsoft Sentinel met behulp van TVM REST API's. Raadpleeg de API-documentatie voor meer informatie. De connector biedt de mogelijkheid om gegevens op te halen die helpen bij het onderzoeken van potentiële beveiligingsrisico's, het verkrijgen van inzicht in uw computerassets, het diagnosticeren van configuratieproblemen en meer
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Tenable_VM_Asset_CL |
Ja | Ja |
Tenable_VM_Vuln_CL |
Ja | Ja |
Tenable_VM_Compliance_CL |
Ja | Ja |
Tenable_WAS_Asset_CL |
Ja | Ja |
Tenable_WAS_Vuln_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: zowel een TenableAccessKey als een TenableSecretKey is vereist voor toegang tot de Tenable REST API. Zie API voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Durable Functions om verbinding te maken met de TenableVM-API om assets, beveiligingsproblemen en naleving (indien geselecteerd) regelmatig in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een TenableVM-parser voor beveiligingsproblemen en een TenableVM-parser voor assets die zijn gebaseerd op een Kusto-functie die werkt zoals verwacht, die wordt geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: configuratiestappen voor TenableVM
Volg de instructies om de vereiste API-referenties te verkrijgen.
STAP 2: stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 3: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van TenableVM-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van TenableVM-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 4: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
STAP 5: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie-app te implementeren
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de TenableVM Vulnerability Management Report-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep, de naam van de functie-app en de locatie.
Voer de onderstaande gegevens in:
a. WorkspaceName : voer de werkruimtenaam van de log analytics-werkruimte in.
b. TenableAccessKey : voer de toegangssleutel in voor het gebruik van de Tenable-API.
c. TenableSecretKey - Voer Tenable Secret Key in voor verificatie.
d. AzureClientID: voer Azure client-id in.
e. AzureClientSecret : voer Azure clientgeheim in.
f. TenantID : voer tenant-id in die u hebt verkregen uit de bovenstaande stappen.
G. AzureEntraObjectId: voer Azure object-id uit de bovenstaande stappen in.
H. LowestSeveritytoStore : laagste ernst van beveiligingsproblemen om op te slaan. Toegestane waarden: Info, Laag, Gemiddeld, Hoog, Kritiek. De standaardwaarde is Info.
i. ComplianceDataIngestion : selecteer true als u opname van compliancegegevens van tenable VM wilt inschakelen. De standaardwaarde is onwaar.
J. WASAssetDataIngestion : selecteer true als u was-assetgegevensopname van tenable VM wilt inschakelen. De standaardwaarde is onwaar.
K. WASVulnerabilityDataIngestion : selecteer true als u gegevensopname van WAS-beveiligingsproblemen van een tenable VM wilt inschakelen. De standaardwaarde is onwaar.
L. LowestSeveritytoStoreWAS - De ernst van het laagste beveiligingsprobleem dat moet worden opgeslagen voor WAS. Toegestane waarden: Info, Laag, Gemiddeld, Hoog, Kritiek. De standaardwaarde is Info.
M. TenableExportScheduleInMinutes : plan in enkele minuten om een nieuwe exporttaak te maken vanuit tenable VM. De standaardwaarde is 1440.
N. AssetTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van logboeken voor assetgegevens.
O. VulnTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van logboeken voor gegevens over beveiligingsproblemen.
P. ComplianceTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van logboeken voor nalevingsgegevens.
V. WASAssetTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van WAS-assetgegevenslogboeken.
R. WASVulnTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van was-beveiligingsgegevenslogboeken.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de tenableVM Vulnerability Management Report-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld TenableVMXXXXX).
e. Selecteer een runtime: Kies Python 3.12.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig):
a. WorkspaceName : voer de werkruimtenaam van de log analytics-werkruimte in.
b. TenableAccessKey : voer de toegangssleutel in voor het gebruik van de Tenable-API.
c. TenableSecretKey - Voer Tenable Secret Key in voor verificatie.
d. AzureClientID: voer Azure client-id in.
e. AzureClientSecret : voer Azure clientgeheim in.
f. TenantID : voer tenant-id in die u hebt verkregen uit de bovenstaande stappen.
G. AzureEntraObjectId: voer Azure object-id uit de bovenstaande stappen in.
H. LowestSeveritytoStore : laagste ernst van beveiligingsproblemen om op te slaan. Toegestane waarden: Info, Laag, Gemiddeld, Hoog, Kritiek. De standaardwaarde is Info.
i. ComplianceDataIngestion : selecteer true als u opname van compliancegegevens van tenable VM wilt inschakelen. De standaardwaarde is onwaar.
J. WASAssetDataIngestion : selecteer true als u was-assetgegevensopname van tenable VM wilt inschakelen. De standaardwaarde is onwaar.
K. WASVulnerabilityDataIngestion : selecteer true als u gegevensopname van WAS-beveiligingsproblemen van een tenable VM wilt inschakelen. De standaardwaarde is onwaar.
L. LowestSeveritytoStoreWAS - De ernst van het laagste beveiligingsprobleem dat moet worden opgeslagen voor WAS. Toegestane waarden: Info, Laag, Gemiddeld, Hoog, Kritiek. De standaardwaarde is Info.
M. TenableExportScheduleInMinutes : plan in enkele minuten om een nieuwe exporttaak te maken vanuit tenable VM. De standaardwaarde is 1440.
N. AssetTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van logboeken voor assetgegevens.
O. VulnTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van logboeken voor gegevens over beveiligingsproblemen.
P. ComplianceTableName: voer de naam in van de tabel die wordt gebruikt voor het opslaan van logboeken voor nalevingsgegevens.
V. WASAssetTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van WAS-assetgegevenslogboeken.
R. WASVulnTableName : voer de naam in van de tabel die wordt gebruikt voor het opslaan van was-beveiligingsgegevenslogboeken.
S. PyTenableUAVendor - Waarde moet zijn ingesteld op Microsoft.
T. PyTenableUAProduct - Waarde moet worden ingesteld op Microsoft Sentinel.
U. PyTenableUABuild - Waarde moet worden ingesteld op 3.1.0.
Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Tenantgebaseerde Microsoft Defender voor cloud
Ondersteund door:Microsoft Corporation
Microsoft Defender voor Cloud is een hulpprogramma voor beveiligingsbeheer waarmee u bedreigingen in Azure, hybride workloads en workloads met meerdere clouds kunt detecteren en hierop snel kunt reageren. Met deze connector kunt u uw MDC-beveiligingswaarschuwingen van Microsoft 365 Defender streamen naar Microsoft Sentinel, zodat u kunt profiteren van de voordelen van XDR-correlaties die de puntjes verbinden tussen uw cloudresources, apparaten en identiteiten, en de gegevens in werkmappen, query's kunt bekijken en incidenten kunt onderzoeken en erop kunt reageren. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Op tenant gebaseerde Microsoft Defender voor cloud verbinden met Microsoft Sentinel
Nadat u deze connector hebt verbonden, worden alle waarschuwingen van uw Microsoft Defender voor Cloud-abonnementen verzonden naar deze Microsoft Sentinel werkruimte.
Uw Microsoft Defender voor Cloud-waarschuwingen zijn verbonden met streamen via Microsoft 365 Defender. Als u wilt profiteren van het automatisch groeperen van de waarschuwingen in incidenten, verbindt u de Connector voor Microsoft 365 Defender-incidenten. Incidenten kunnen worden bekeken in de wachtrij voor incidenten.
TheHive (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
De TheHive-gegevensconnector biedt de mogelijkheid om DeHive-reactieplatformgegevens voor beveiligingsincidenten op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector biedt de mogelijkheid om cases, taken en waarschuwingen van TheHive op te halen en deze te visualiseren in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TheHiveData |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Toegang tot deHive-API: Toegang tot de Hive-API versie 4 en hoger is vereist voor de TheHive-API.
Installatie-instructies:
1. Configuratie
Volg de instructies om de TheHive-connector te configureren.
TheHive Base URL: (De basis-URL van hetHive-exemplaar (bijvoorbeeld
https://thehive.example.com)) Haal de API-sleutel op uit de instellingen van uw TheHive-gebruikersprofiel. (of een toegewezen gebruiker die voor dit doel is gemaakt)API-sleutel: (API-sleutel voor TheHive-API)
2. Verbinding maken
Schakel de TheHive-connector in.
- Verbinding in-/uitschakelen
Theom
Ondersteund door:Theom
Met Theom Data Connector kunnen organisaties hun Theom-omgeving verbinden met Microsoft Sentinel. Met deze oplossing kunnen gebruikers waarschuwingen ontvangen over gegevensbeveiligingsrisico's, incidenten maken en verrijken, statistieken controleren en SOAR-playbooks activeren in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TheomAlerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
- Klik in de Theom UI-console op Beheren -> Waarschuwingen op de zijbalk.
- Selecteer Sentinel tabblad.
- Klik op de knop Actief om de configuratie in te schakelen.
- Toets invoeren
PrimaryalsAuthorization Token - Voer in
Endpoint URLalshttps://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01 - Klik op
SAVE SETTINGS
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Bedreigingsinformatie - TAXII
Ondersteund door:Microsoft Corporation
Microsoft Sentinel integreert met TAXII 2.0- en 2.1-gegevensbronnen om bewaking, waarschuwingen en opsporing mogelijk te maken met behulp van uw bedreigingsinformatie. Gebruik deze connector om de ondersteunde STIX-objecttypen van TAXII-servers naar Microsoft Sentinel te verzenden. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's en bestands-hashes zijn. Zie de Microsoft Sentinel-documentatie >voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Platformen voor bedreigingsinformatie
Ondersteund door:Microsoft Corporation
Microsoft Sentinel integreert met Microsoft Graph beveiligings-API gegevensbronnen om bewaking, waarschuwingen en opsporing mogelijk te maken met behulp van uw bedreigingsinformatie. Gebruik deze connector om bedreigingsindicatoren te verzenden naar Microsoft Sentinel vanuit uw Threat Intelligence Platform (TIP), zoals Threat Connect, Palo Alto Networks MindMeld, MISP of andere geïntegreerde toepassingen. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's en bestands-hashes zijn. Zie de Microsoft Sentinel-documentatie >voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Api voor het uploaden van bedreigingsinformatie (preview)
Ondersteund door:Microsoft Corporation
Microsoft Sentinel biedt een gegevensvlak-API voor het inschakelen van bedreigingsinformatie van uw Threat Intelligence Platform (TIP), zoals Threat Connect, Palo Alto Networks MineMeld, MISP of andere geïntegreerde toepassingen. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's, bestands-hashes en e-mailadressen zijn. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
**U kunt uw gegevensbronnen voor bedreigingsinformatie verbinden met Microsoft Sentinel door: **
Met behulp van een geïntegreerd Threat Intelligence Platform (TIP), zoals Threat Connect, Palo Alto Networks MineMeld, MISP en andere.
De Microsoft Sentinel gegevensvlak-API rechtstreeks vanuit een andere toepassing aanroepen.
- Opmerking: de 'Status' van de connector wordt hier niet weergegeven als Verbonden, omdat de gegevens worden opgenomen door een API-aanroep te maken.
**Volg deze stappen om verbinding te maken met uw bedreigingsinformatie: **
1. Microsoft Entra ID toegangstoken ophalen
Als u een aanvraag naar de API's wilt verzenden, moet u Microsoft Entra ID toegangstoken verkrijgen. U kunt de instructies op deze pagina volgen: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Kennisgeving: Vraag Microsoft Entra ID toegangstoken aan met bereikwaarde: [variabelen('managementUri')]
2. STIX-objecten verzenden naar Sentinel
U kunt de ondersteunde STIX-objecttypen verzenden door onze Upload-API aan te roepen. Klik hier voor meer informatie over de API.
HTTP-methode: POST
WorkspaceID: de werkruimte waarnaar de STIX-objecten worden geüpload.
Headerwaarde 1: "Autorisatie" = "Bearer [Microsoft Entra ID Toegangstoken uit stap 1]"
Headerwaarde 2: "Content-Type" = "application/json"
Hoofdtekst: de hoofdtekst is een JSON-object dat een matrix van STIX-objecten bevat.
Beveiligingsconnector verzenden (met behulp van Azure Functions)
Ondersteund door:Beveiliging verzenden
De gegevensconnector [Beveiliging verzenden] biedt de mogelijkheid om veelvoorkomende transmit-beveiligings-API-gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TransmitSecurityActivity_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
REST API-client-id: TransmitSecurityClientID is vereist. Zie de documentatie voor meer informatie over API op de
https://developer.transmitsecurity.com/. -
REST API-clientgeheim: TransmitSecurityClientSecret is vereist. Zie de documentatie voor meer informatie over API op de
https://developer.transmitsecurity.com/.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de beveiligings-API Verzenden om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de verzenden beveiligings-API
Volg de instructies om de referenties te verkrijgen.
- Meld u aan bij de portal Beveiliging verzenden.
- Een beheer-app configureren. Geef de app een geschikte naam, bijvoorbeeld MyAzureSentinelCollector.
- Sla referenties van de nieuwe gebruiker op voor gebruik in de gegevensconnector.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de connector Beveiligingsgegevens verzenden implementeert, moet u beschikken over de werkruimte-id en primaire werkruimtesleutel (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector Voor beveiliging verzenden met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep.
Voer de TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint en deploy in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies voor het handmatig implementeren van de gegevensconnector Voor beveiliging verzenden met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS Code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit op uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau in de uitgepakte bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app.
Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure.
Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd).
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions.
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar de Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer Omgevingsvariabelen.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig):
- TransmitSecurityClientID
- TransmitSecurityClientSecret
- TransmitSecurityPullEndpoint
- TransmitSecurityTokenEndpoint
- WorkspaceID
- WorkspaceKey
- logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor een toegewezen cloud te overschrijven. Laat voor de openbare cloud bijvoorbeeld de waarde leeg; geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Nadat alle toepassingsinstellingen zijn ingevoerd, klikt u op Toepassen.
Trellix Endpoint Security (via Codeless Connector Framework)
Ondersteund door:Microsoft Corporation
Met de Trellix Endpoint Security-gegevensconnector kunt u beveiligingsgebeurtenissen van Trellix ePO (ePolicy Orchestrator) opnemen in Microsoft Sentinel. Deze connector maakt gebruik van verificatie van OAuth2-clientreferenties en verwerkt automatisch paginering om uitgebreide eindpuntbeveiligingsgegevens te verzamelen, waaronder detecties van bedreigingen, analysegegevens, bron- en doelsysteemdetails en reactieacties op bedreigingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TrellixEvents |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
1. API-configuratie
Configureer uw Trellix ePO API-verbinding.
- API-basis-URL: (https://api.manage.trellix.com) Verificatie
Geef uw API-sleutel op voor verificatie. Deze wordt verzonden in de header x-api-key.
- API-sleutel: (Voer uw API-sleutel in)
Opmerking: de API-sleutel wordt veilig opgeslagen en gebruikt voor verificatie met de Trellix ePO-API.
2. Verificatieconfiguratie
OAuth2-verificatiereferenties configureren.
Tokeneindpunt: (https://iam.cloud.trellix.com/iam/v1.0/token) OAuth2-configuratie OAuth2-clientreferenties configureren voor API-toegang. Lees meer over het Trellix API-autorisatiemodel op https://developer.manage.trellix.com/public/mvision/docs/umam
Client-id: (uw client-id)
Clientgeheim: (uw clientgeheim)
Opmerking: OAuth2-verificatie biedt beveiligde toegang tot uw API-eindpunten.
3. Connector inschakelen
De Trellix Endpoint Security-connector activeren
Connectoractivering
Controleer uw configuratie en schakel de connector in om te beginnen met het verzamelen van beveiligingsevenementen.
- Verbinding na verbinding in-/uitschakelen
Nadat u verbinding hebt gemaakt, controleert u de connectorstatus op de pagina Gegevensconnectors . Gegevens worden binnen 5-10 minuten weergegeven.
Trend Vision One (met Azure Functions)
Ondersteund door:Trend Micro
Met de Trend Vision One-connector kunt u eenvoudig uw Workbench-waarschuwingsgegevens verbinden met Microsoft Sentinel dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren. Dit geeft u meer inzicht in de netwerken/systemen van uw organisatie en verbetert uw beveiligingsmogelijkheden.
De Trend Vision One-connector wordt ondersteund in Microsoft Sentinel in de volgende regio's: Australië - oost, Australië - zuidoost, Brazilië - zuid, Canada - centraal, Canada - oost, India - centraal, VS - centraal, Azië - oost, VS - oost 2, Frankrijk - centraal, Japan - oost, Korea - centraal, VS - noord-centraal, Europa - noord, Noorwegen - oost, Zuid-Afrika - noord, VS - zuid-centraal, Azië - zuidoost, Zweden - centraal, Zwitserland - noord, VAE - noord, VK - zuid, VK - west, Europa - west, VS - west, VS - west 2, VS - west 3.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Nee | Nee |
TrendMicro_XDR_RCA_Task_CL |
Nee | Nee |
TrendMicro_XDR_RCA_Result_CL |
Nee | Nee |
TrendMicro_XDR_OAT_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Trend Vision One API-token: een Trend Vision One API-token is vereist. Raadpleeg de documentatie voor meer informatie over de Trend Vision One-API.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Trend Vision One-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de Trend Vision One-API
Volg deze instructies om een account en een API-verificatietoken te maken.
STAP 2: gebruik de onderstaande implementatieoptie om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Trend Vision One-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan hieruit worden gekopieerd), evenals het Trend Vision One API-autorisatietoken, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
implementatie van Azure Resource Manager -sjabloon (ARM)
Deze methode biedt een geautomatiseerde implementatie van de Trend Vision One-connector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer een unieke functienaam, werkruimte-id, werkruimtesleutel, API-token en regiocode in.
- Opmerking: geef de juiste regiocode op op basis van waar uw Trend Vision One-exemplaar is geïmplementeerd: us, eu, au, in, sg, jp
- Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
Tropico Security - Waarschuwingen
Ondersteund door:TROPICO Security
Beveiligingswaarschuwingen van Tropico Security Platform opnemen in OCSF Security Finding-indeling.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
{{graphQueriesTableName}} |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Connect Tropico Security Platform
Voer uw alleen-lezen-API-sleutel in via Tropico-instellingen.
- API-sleutel: (trop_xxxx...)
- Verbinding in-/uitschakelen
Tropico Security - Evenementen
Ondersteund door:TROPICO Security
Beveiligingsgebeurtenissen van Tropico Security Platform opnemen in OCSF Security Finding-indeling.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
{{graphQueriesTableName}} |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Connect Tropico Security Platform
Voer uw alleen-lezen-API-sleutel in via Tropico-instellingen.
- API-sleutel: (trop_xxxx...)
- Verbinding in-/uitschakelen
Tropico Security - Incidenten
Ondersteund door:TROPICO Security
Sessie-incidenten van aanvallers van Tropico Security Platform opnemen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
{{graphQueriesTableName}} |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Connect Tropico Security Platform
Voer uw alleen-lezen-API-sleutel in via Tropico-instellingen.
- API-sleutel: (trop_xxxx...)
- Verbinding in-/uitschakelen
Upwind Logs Loader (Ingestion API)
Ondersteund door:Upwind
De Upwind Logs Loader-gegevensconnector neemt rekenplatformassets van het Upwind-cloudbeveiligingsplatform op in een Microsoft Sentinel aangepaste tabel met behulp van een Azure-functie en de Azure Monitor Ingestion-API (DCE/DCR).
Upwind biedt cloudbeveiliging op basis van runtime en correleert de cloudpostuur met de context van de liveworkload. Met deze connector wordt uw Upwind-inventaris (rekenplatformassets in AWS, GCP en Azure) rechtstreeks in Microsoft Sentinel voor correlatie, opsporing en verrijking van incidenten.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
UpwindLogsAssets_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
Upwind API-referenties: een Upwind API-client-id en clientgeheim zijn vereist. Haal deze op bij uw Upwind-platform onder Instellingen → API-sleutels. De clientreferenties worden gebruikt om te verifiëren op basis
https://auth.upwind.io/oauth/tokenvan om een bearer-token te verkrijgen. - Upwind-organisatie-id: uw Upwind-organisatie-id is vereist. U vindt deze in het Upwind-platform onder Instellingen → Organisatie.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions en de Azure Monitor Ingestion API (DCE/DCR) om Upwind-logboeken naar Microsoft Sentinel te pushen. Met de ARM-sjabloon worden automatisch het eindpunt voor gegevensverzameling, de aangepaste logboektabel (
UpwindLogsAssets_CL), de regel voor gegevensverzameling en de roltoewijzing gemaakt. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina Azure Functions prijzen en Azure Pagina Prijzen controleren voor meer informatie.
(Optioneel) Kies tijdens de implementatie Key Vault als verificatiemethode om uw Upwind-clientgeheim veilig op te slaan. U kunt een bestaande Key Vault naam opgeven of de sjabloon een nieuwe laten maken. Een door de gebruiker toegewezen beheerde identiteit wordt automatisch geconfigureerd met het vereiste Key Vault toegangsbeleid.
STAP 1: Upwind API-referenties verkrijgen
- Meld u aan bij het Upwind-platform.
- Navigeer naar Instellingen → API-sleutels.
- Maak een nieuwe API-sleutel en noteer de client-id en het clientgeheim.
- Ga naar Instellingen → Organisatie en noteer uw organisatie-id.
STAP 2: de Azure-functie-app implementeren
Klik op Implementeren om te Azure en vul de parameters in. De sjabloon maakt automatisch de DCE, UpwindLogs_CL tabel, DCR, roltoewijzing en functie-app.
In te vullen parameters:
| Parameter | Beschrijving |
|---|---|
WorkspaceName |
Naam van uw Log Analytics/Microsoft Sentinel-werkruimte |
UpwindOrgId |
Upwind-organisatie-id uit stap 1 |
UpwindClientId |
Upwind API-client-id uit stap 1 |
UpwindClientSecret |
Upwind API-clientgeheim uit stap 1 |
AppInsightsWorkspaceResourceID |
Volledige resource-id van de Log Analytics-werkruimte (van Log Analytics-werkruimte → Eigenschappen) |
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
Gedragssignalen van Vaikora AI-agent
Ondersteund door:Data443 Risk Mitigation, Inc.
Gedragssignalen van de AI-agent van de Vaikora-API opnemen in Microsoft Sentinel met behulp van het Codeless Connector Framework (CCF). Bewaak agentacties, beleidsbeslissingen, anomaliescores en risiconiveaus om verdachte AI-activiteiten in uw omgeving te detecteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Vaikora_AgentSignals_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Vaikora-API-sleutel: een Vaikora-API-sleutel (vk_xxxxx) met leestoegang tot het eindpunt van de acties. Haal dit op van uw Vaikora-dashboard onder Instellingen-API-sleutels > .
Installatie-instructies:
Gedragssignalen van Vaikora AI-agent verbinden
Als u de Vaikora-connector wilt inschakelen, voert u hieronder uw Vaikora-API-sleutel in en klikt u op Verbinding maken. De agent-id is optioneel; hiermee kunt u de opname naar één agent opgeven of leeg laten om acties op te nemen van alle agents die de sleutel kan zien.
Uw API-sleutel is beschikbaar in het Vaikora-dashboard onder Instellingen-API-sleutels>. De agent-id is de UUID die wordt weergegeven op de detailpagina van elke agent.
- Vaikora-API-sleutel: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
- Vaikora-agent-id (optioneel): (Laat leeg om alle agents te controleren)
- Verbinding in-/uitschakelen
Valimail Configuratie-gebeurtenissen afdwingen
Ondersteund door:Valimail
Met de gegevensconnector Valimail-configuratiegebeurtenissen kunnen de configuratiegebeurtenissen van het e-maildomein uit de Rapportage-API van Valimail worden opgenomen in Microsoft Sentinel. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ValimailEnforceEvents_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Configuratiestappen voor de Valimail Events-API Volg de instructies in de handleiding om een set rapportage-API-referenties te genereren. Sla de gemaakte client-id en de app-id-sleutels op.
- Clientaccount slug: (account slug)
- API-client-id: (client-id-referentie)
- API-app-id: (app-id-referentie)
- Verbinding in-/uitschakelen
Varonis Purview Push Connector
Ondersteund door:Varonis
De Varonis Purview-connector biedt de mogelijkheid om resources van Varonis te synchroniseren met Microsoft Purview.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
VaronisResources_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang
Installatie-instructies:
1. Voer dit uit om opname voor Varonis Resoources in te stellen
Hiermee worden de benodigde Log Analytics-tabellen, dcr (Data Collection Rule) en een Entra-toepassing gemaakt om gegevens veilig naar de DCR te verzenden.
Geautomatiseerde configuratie en beveiligde gegevensopname met Entra toepassing die op 'Implementeren' klikt, activeert het maken van Log Analytics-tabellen en een gegevensverzamelingsregel (DCR). Er wordt vervolgens een Entra toepassing gemaakt, de DCR eraan gekoppeld en het ingevoerde geheim in de toepassing ingesteld. Met deze installatie kunnen gegevens veilig worden verzonden naar de DCR met behulp van een Entra-token.
2. Push uw logboeken naar de werkruimte
Gebruik de volgende parameters om de Varonis Purview Connector in uw Varonis-integratiedashboard te configureren.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra app-registratietoepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra App-registratiegeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Naam van resources Stream: <variabele waarde opgegeven tijdens de installatie>
Varonis SaaS
Ondersteund door:Varonis
Varonis SaaS biedt de mogelijkheid om Varonis-waarschuwingen op te nemen in Microsoft Sentinel.
Varonis geeft prioriteit aan diepgaande zichtbaarheid van gegevens, classificatiemogelijkheden en geautomatiseerd herstel voor gegevenstoegang. Varonis bouwt één geprioriteerd overzicht van risico's voor uw gegevens, zodat u proactief en systematisch risico's van interne bedreigingen en cyberaanvallen kunt elimineren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
VaronisAlerts_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Varonis DatAlert-service om waarschuwingen op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Zie de pagina Azure Functions prijzen voor meer informatie.
Gebruik voor de installatie van Azure functie en gerelateerde services:
STAP 1: Haal de referenties van de Varonis DatAlert Endpoint-API op.
De client-id en API-sleutel genereren:
- Start de Varonis-webinterface.
- Navigeer naar Configuratie -> API-sleutels. De pagina API-sleutels wordt weergegeven.
- Klik op API-sleutel maken. De instellingen voor nieuwe API-sleutel toevoegen worden aan de rechterkant weergegeven.
- Vul de naam en beschrijving in.
- Klik op de knop Sleutel genereren.
- Kopieer het API-sleutelgeheim en sla het op een handige locatie op. U kunt deze niet meer kopiëren.
Raadpleeg voor meer informatie: Varonis-documentatie
STAP 2: implementeer de connector en de bijbehorende Azure-functie.
- Werkruimtenaam: <variabele waarde opgegeven tijdens de installatie>
Gebruik deze methode voor geautomatiseerde implementatie van de gegevensconnector met behulp van een ARM-sjabloon.
Klik op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, resourcegroep, regio, opslagaccounttype.
Voer Log Analytics Workspace Name, Varonis FQDN, Varonis SaaS API Key in.
Klik op Beoordelen en maken, Maken.
Vectra XDR (met Azure Functions)
Ondersteund door:Vectra Support
De Vectra XDR-connector biedt de mogelijkheid om Vectra-detecties, audits, entiteitsscores, vergrendeling, status en entiteitengegevens op te nemen in Microsoft Sentinel via de Vectra REST API. Raadpleeg de API-documentatie: https://support.vectra.ai/s/article/KB-VS-1666 voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Detections_Data_CL |
Ja | Ja |
Audits_Data_CL |
Ja | Ja |
Entity_Scoring_Data_CL |
Ja | Ja |
Lockdown_Data_CL |
Ja | Ja |
Health_Data_CL |
Ja | Ja |
Entities_Data_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
REST API-referenties/-machtigingen: Vectra-client-id en clientgeheim zijn vereist voor het verzamelen van gegevens over status, entiteitsscore, entiteiten, detecties, vergrendeling en controlegegevens. Zie de documentatie voor meer informatie over API op de
https://support.vectra.ai/s/article/KB-VS-1666.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Vectra-API om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Volg deze stappen voor Detections Parser, Audits Parser, Entity Scoring Parser, Lockdown Parser en Health Parser om de Kusto-functiealias, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown en VectraHealth te maken.
STAP 1: configuratiestappen voor de Vectra-API-referenties
Volg deze instructies om een Vectra-client-id en een clientgeheim te maken.
- Meld u aan bij uw Vectra-portal
- Navigeer naar Beheren -> API-clients
- Selecteer op de pagina API-clients de optie API-client toevoegen om een nieuwe client te maken.
- Voeg Clientnaam toe, selecteer Rol en klik op Referenties genereren om uw clientreferenties te verkrijgen.
- Zorg ervoor dat u uw client-id en geheime sleutel registreert voor bewaring. U hebt deze twee stukjes informatie nodig om een toegangstoken van de Vectra-API te verkrijgen. Een toegangstoken is vereist om aanvragen te doen voor alle Vectra-API-eindpunten.
STAP 2: stappen voor app-registratie voor de toepassing in Microsoft Entra ID
Voor deze integratie is een app-registratie in de Azure Portal vereist. Volg de stappen in deze sectie om een nieuwe toepassing te maken in Microsoft Entra ID:
- Meld u aan bij Azure Portal.
- Zoek en selecteer Microsoft Entra ID.
- Selecteer onder Beheren App-registraties > Nieuwe registratie.
- Voer een weergavenaam in voor uw toepassing.
- Selecteer Registreren om de eerste app-registratie te voltooien.
- Wanneer de registratie is voltooid, wordt in de Azure Portal het deelvenster Overzicht van de app-registratie weergegeven. U ziet de toepassings-id (client) en tenant-id. De client-id en tenant-id zijn vereist als configuratieparameters voor de uitvoering van Vectra-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app
STAP 3: een clientgeheim voor toepassing toevoegen in Microsoft Entra ID
Een clientgeheim, ook wel een toepassingswachtwoord genoemd, is een tekenreekswaarde die is vereist voor de uitvoering van Vectra-gegevensconnector. Volg de stappen in deze sectie om een nieuw clientgeheim te maken:
- Selecteer in de Azure Portal in App-registraties uw toepassing.
- Selecteer Certificaten & geheimen > Clientgeheimen > Nieuw clientgeheim.
- Voeg een beschrijving toe voor uw clientgeheim.
- Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op. De limiet is 24 maanden.
- Kies Toevoegen.
- Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheime waarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. De geheime waarde is vereist als configuratieparameter voor de uitvoering van Vectra-gegevensconnector.
Referentiekoppeling:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret
STAP 4: Object-id van uw toepassing ophalen in Microsoft Entra ID
Nadat u uw app-registratie hebt gemaakt, volgt u de stappen in deze sectie om de object-id op te halen:
- Ga naar Microsoft Entra ID.
- Selecteer Bedrijfstoepassingen in het linkermenu.
- Zoek uw zojuist gemaakte toepassing in de lijst (u kunt zoeken op de naam die u hebt opgegeven).
- Klik op de toepassing.
- Kopieer op de overzichtspagina de object-id. Dit is de AzureEntraObjectId die nodig is voor de roltoewijzing van uw ARM-sjabloon.
STAP 5: De rol van inzender toewijzen aan de toepassing in Microsoft Entra ID
Volg de stappen in deze sectie om de rol toe te wijzen:
- Ga in de Azure Portal naar Resourcegroep en selecteer uw resourcegroep.
- Ga naar Toegangsbeheer (IAM) in het linkerdeelvenster.
- Klik op Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.
- Selecteer Inzender als rol en klik op Volgende.
- Selecteer
User, group, or service principalin Toegang toewijzen aan. - Klik op Leden toevoegen, typ de naam van de app die u hebt gemaakt en selecteer deze.
- Klik nu op Beoordelen en toewijzen en klik vervolgens nogmaals op Beoordelen en toewijzen.
Referentiekoppeling:/azure/role-based-access-control/role-assignments-portal
STAP 6: Een keyvault maken
Volg deze instructies om een nieuwe Keyvault te maken.
- Ga in de Azure Portal naar Sleutelkluizen en klik op Maken.
- Selecteer Subsciption, Resource group en geef de unieke naam van de sleutelkluis op.
STAP 7: Toegangsbeleid maken in Keyvault
Volg deze instructies om toegangsbeleid te maken in Keyvault.
- Ga naar sleutelkluisjes, selecteer uw sleutelkluis, ga naar Toegangsbeleid in het linkerdeelvenster en klik op Maken.
- Selecteer alle sleutels & machtigingen voor geheimen. Klik op Volgende.
- Zoek in de principal-sectie op de naam van de toepassing die is gegenereerd in STAP 2. Klik op Volgende.
Opmerking: Zorg ervoor dat het machtigingsmodel in de toegangsconfiguratie van Key Vault is ingesteld op Kluistoegangsbeleid
STAP 8: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Vectra-gegevensconnector implementeert, moet u de autorisatiereferenties van de Vectra-API direct beschikbaar hebben.
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor automatische implementatie van de Vectra-connector.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de onderstaande informatie in: Naam van de werkruimte Vectra Basis-URL (https://< vectra-portal-url) Vectra Client-id> - Status Vectra Client Secret Key - Health Vectra Client Id - Entity Scoring Vectra Client Secret - Entity Scoring Vectra Client Id - Detecties Vectra Clientgeheim - Detecties Vectra-client-id - Controles Vectra-clientgeheim - Controles Vectra-client-id - Vectra-clientgeheim vergrendelen - Vectra-client-id vergrendelen - Host-Entity Vectra-clientgeheim - Host-Entity Vectra-client-id - Account-Entity Vectra-clientgeheim - Account-Entity Key Vault naam Azure client-id Azure clientgeheim tenant-id Azure Entra ObjectID StartTime (in MM/DD/JJJJ UU:MM:SS-indeling) opnemen Scorevermindering Controles Tabelnaam Detecties tabelnaam Entiteit scoren Tabelnaam Naam vergrendeling tabel Naam status tabelNaam Naam tabel Naam groepsgegevens uitsluiten van detectielogboekniveau (standaard: INFO) Vergrendelingsschema Statusplanning Detecties planning Controles Schema Entiteit scoren Schema Entiteiten Schema
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Vectra-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld VECTRAXXXXX).
e. Selecteer een runtime: Kies Python 3.8 of hoger.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe: met hun respectieve waarden (hoofdlettergevoelig): Werkruimte-id Werkruimtesleutel Vectra Base URL (https://< vectra-portal-url) Vectra-client-id> - Status Vectra Client Secret Key - Health Vectra Client Id - Entity Scoring Vectra Client Secret - Entity Scoring Vectra Client Id - Detecties Vectra Client Secret - Detecties Vectra Client Id - Audits Vectra Client Secret - Audits Vectra Client Id - Lockdown Vectra Client Secret - Lockdown Vectra Client Secret - Lockdown Vectra-client-id - Host-Entity Vectra-clientgeheim - Host-Entity Vectra-client-id - Account-Entity Vectra-clientgeheim - Account-Entity Key Vault naam Azure client-id Azure clientgeheim tenant-id StartTime (in MM/DD/JJJJ UU:MM:SS-indeling) opnemen Scorevermindering Controles tabelnaam detectie tabelnaam Tabelnaam entiteit Score tabel Naam vergrendeling tabel naam Naam status tabel Naam entiteiten Tabelnaam logboekniveau (standaard: INFO) Vergrendelingsschema Health Schedule Detections Schedule Audits Schedule Entity Scoring Schedule Entiteiten Schedule logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Veeam Data Connector (met behulp van Azure Functions)
Ondersteund door:Veeam Software
Met Veeam Data Connector kunt u Veeam-telemetriegegevens uit meerdere aangepaste tabellen opnemen in Microsoft Sentinel.
De connector ondersteunt integratie met Veeam Backup & Replication, Veeam ONE en Coveware-platforms om uitgebreide bewakings- en beveiligingsanalyses te bieden. De gegevens worden verzameld via Azure Functions en opgeslagen in aangepaste Log Analytics-tabellen met toegewezen regels voor gegevensverzameling (DCR) en eindpunten voor gegevensverzameling (DCE).
Aangepaste tabellen inbegrepen:
- VeeamMalwareEvents_CL: Malwaredetectie-gebeurtenissen van Veeam Backup & Replication
- VeeamSecurityComplianceAnalyzer_CL: Resultaten van Security & Compliance Analyzer die zijn verzameld van onderdelen van de Back-upinfrastructuur van Veeam
- VeeamAuthorizationEvents_CL: autorisatie- en verificatie-gebeurtenissen
- VeeamOneTriggeredAlarms_CL: Geactiveerde alarmen van Veeam ONE-servers
- VeeamCovewareFindings_CL: Beveiligingsresultaten van de Coveware-oplossing
- VeeamSessions_CL: Veeam-sessies
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
VeeamMalwareEvents_CL |
Ja | Ja |
VeeamSecurityComplianceAnalyzer_CL |
Ja | Ja |
VeeamOneTriggeredAlarms_CL |
Ja | Ja |
VeeamAuthorizationEvents_CL |
Ja | Ja |
VeeamCovewareFindings_CL |
Ja | Ja |
VeeamSessions_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Toegang tot Veeam-infrastructuur: Toegang tot Veeam Backup & Replication REST API en Veeam ONE-bewakingsplatform is vereist. Dit omvat de juiste verificatiereferenties en netwerkconnectiviteit.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met Veeam-API's en gegevens op te halen in Microsoft Sentinel aangepaste tabellen. Dit kan leiden tot extra kosten voor gegevensopname. Zie de pagina Azure Functions prijzen voor meer informatie.
STAP 1: selecteer de implementatieoptie voor Veeam Data Connector en de bijbehorende Azure Functions
BELANGRIJK: Voordat u Veeam Data Connector implementeert, moet u werkruimtenaam voorbereiden (kan worden gekopieerd uit het volgende).
- Werkruimtenaam: <variabele waarde opgegeven tijdens de installatie>
arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Veeam-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de naam van de Microsoft Sentinel werkruimte in.
Klik op Beoordelen en maken, Maken.
VersasecCms
Ondersteund door:Versasec-ondersteuning
Met de VersasecCms-gegevensconnector kunt u logboeken opnemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
VersasecCmsSysLogs_CL |
Nee | Nee |
VersasecCmsErrorLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Configuratie
Voer referenties in voor VersasecCms.
- Beheer-URL:
- API-basispad:
- API-token:
- Polling-interval (minuten)::
- Verbinding in-/uitschakelen
VirtualMetric DataStream voor Microsoft Sentinel
Ondersteund door:VirtualMetric
VirtualMetric DataStream-connector implementeert regels voor gegevensverzameling om beveiligingstelemetrie op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- App-registratie of Azure beheerde identiteit: VirtualMetric DataStream vereist een Entra id-identiteit om logboeken te verifiëren en te verzenden naar Microsoft Sentinel. U kunt kiezen tussen het maken van een app-registratie met client-id en clientgeheim of het gebruik van Azure Beheerde identiteit voor verbeterde beveiliging zonder referentiebeheer.
- Roltoewijzing van resourcegroep: de gekozen identiteit (app-registratie of beheerde identiteit) moet worden toegewezen aan de resourcegroep die het eindpunt voor gegevensverzameling bevat met de volgende rollen: Monitoring Metrics Publisher (voor logboekopname) en Bewakingslezer (voor leesstreamconfiguratie).
Installatie-instructies:
VirtualMetric DataStream configureren voor Microsoft Sentinel
Configureer de VirtualMetric DataStream voor Microsoft Sentinel om gegevens te verzenden.
Toepassing registreren in Microsoft Entra ID (optioneel)
Kies uw verificatiemethode: Optie A: Gebruik Azure Beheerde identiteit (aanbevolen)
- Sla deze stap over als u van plan bent om Azure Managed Identity te gebruiken voor verificatie.
- Azure Beheerde identiteit biedt een veiligere verificatiemethode zonder referenties te beheren.
Optie B: Een service-principaltoepassing registreren
Open de pagina Microsoft Entra ID:
- Klik op de opgegeven koppeling om de Microsoft Entra ID registratiepagina op een nieuw tabblad te openen.
- Zorg ervoor dat u bent aangemeld met een account met de machtigingen Toepassingsbeheerder of Globale beheerder .
Een nieuwe toepassing maken:
- Selecteer in de Microsoft Entra ID-portal App-registraties in de linkernavigatiebalk.
- Klik op + Nieuwe registratie.
- Vul de volgende velden in:
- Naam: voer een beschrijvende naam in voor de app (bijvoorbeeld 'VirtualMetric ASIM Connector').
- Ondersteunde accounttypen: Kies Alleen accounts in deze organisatiemap (één tenant).
-
Omleidings-URI: laat dit leeg.
- Klik op Registreren om de toepassing te maken.
Toepassings- en tenant-id's kopiëren:
- Zodra de app is geregistreerd, noteert u de toepassings-id (client) en map -id (tenant) op de pagina Overzicht . U hebt deze nodig voor de configuratie van VirtualMetric DataStream.
Een clientgeheim maken:
- Klik in de sectie Certificaten & geheimen op + Nieuw clientgeheim.
- Voeg een beschrijving toe (bijvoorbeeld 'VirtualMetric ASIM Secret') en stel een juiste verloopperiode in.
- Klik op Toevoegen.
- Kopieer de waarde van het clientgeheim onmiddellijk, omdat deze niet opnieuw wordt weergegeven. Sla deze veilig op voor virtualmetric datastream-configuratie.
Vereiste machtigingen toewijzen
Wijs de vereiste rollen toe aan de door u gekozen verificatiemethode (service-principal of beheerde identiteit) in de resourcegroep.
Voor service-principal (als u stap 1 hebt voltooid):
Navigeer naar Uw resourcegroep:
- Open de Azure Portal en navigeer naar de resourcegroep die uw Log Analytics-werkruimte bevat en waar regels voor gegevensverzameling (DDR's) worden geïmplementeerd.
Wijs de rol Uitgever van metrische bewakingsgegevens toe:
- Klik in de resourcegroep op Toegangsbeheer (IAM) in het linkermenu.
- Klik op + Toevoegen en selecteer Roltoewijzing toevoegen.
- Zoek en selecteer op het tabblad Rol de optie Monitoring Metrics Publisher.
- Klik op Volgende om naar het tabblad Leden te gaan .
- Selecteer onder Toegang toewijzen aan de optie Gebruiker, groep of service-principal.
- Klik op + Leden selecteren en zoek uw geregistreerde toepassing op naam of client-id.
- Selecteer uw toepassing en klik op Selecteren.
- Klik op Controleren en toewijzen om de toewijzing te voltooien.
Wijs de rol Lezer voor bewaking toe:
- Herhaal hetzelfde proces om de rol Bewakingslezer toe te wijzen:
- Klik op + Toevoegen en selecteer Roltoewijzing toevoegen.
- Zoek en selecteer op het tabblad Rol de optie Lezer voor bewaking.
- Volg hetzelfde selectieproces als hierboven.
- Klik op Controleren en toewijzen om de toewijzing te voltooien. Voor Azure Beheerde identiteit:
Uw beheerde identiteit maken of identificeren:
- Als u door het systeem toegewezen beheerde identiteit gebruikt: schakel deze in op uw Azure resource (VM, App Service, enzovoort).
- Als u door de gebruiker toegewezen beheerde identiteit gebruikt: maak er een in uw resourcegroep als deze niet bestaat.
Wijs de rol Uitgever van metrische bewakingsgegevens toe:
- Volg dezelfde stappen als hierboven, maar op het tabblad Leden :
- Selecteer beheerde identiteit onder Toegang toewijzen aan.
- Klik op + Leden selecteren , kies het juiste type beheerde identiteit en selecteer uw identiteit.
- Klik op Selecteren en vervolgens tweemaal controleren en toewijzen om te voltooien.
Wijs de rol Lezer voor bewaking toe:
- Herhaal het proces om de rol Bewakingslezer toe te wijzen aan dezelfde beheerde identiteit. Samenvatting van vereiste machtigingen: de toegewezen rollen bieden de volgende mogelijkheden:
- Uitgever van metrische gegevens bewaken: gegevens schrijven naar DCE (Data Collection Endpoints) en telemetrie verzenden via Regels voor gegevensverzameling (DCR)
- Bewakingslezer: Leesstreamconfiguratie en toegang tot Log Analytics-werkruimte voor opname van ASIM-tabellen
Azure-infrastructuur implementeren
Implementeer het vereiste eindpunt voor gegevensverzameling (DCE) en regels voor gegevensverzameling (DCR) voor Microsoft Sentinel tabellen met behulp van onze ARM-sjabloon.
Implementeren in Azure:
- Klik op de knop Implementeren naar Azure hieronder om de vereiste infrastructuur automatisch te implementeren:
- portal.azure.com
- Hiermee gaat u rechtstreeks naar de Azure Portal om de implementatie te starten.
Implementatieparameters configureren:
- Configureer op de pagina aangepaste implementatie de volgende instellingen:
Projectdetails:
- Abonnement: selecteer uw Azure-abonnement in de vervolgkeuzelijst
- Resourcegroep: selecteer een bestaande resourcegroep of klik op Nieuwe maken om een nieuwe instantiedetails te maken:
- Regio: selecteer de Azure regio waar uw Log Analytics-werkruimte zich bevindt (bijvoorbeeld Europa - west)
- Werkruimte: voer de naam van uw Log Analytics-werkruimte in
- DCE-naam: geef een naam op voor het eindpunt voor gegevensverzameling (bijvoorbeeld 'vmetric-dce')
- DCR-naamvoorvoegsel: geef een voorvoegsel op voor de regels voor gegevensverzameling (bijvoorbeeld 'vmetric-dcr')
Voltooi de implementatie:
- Klik op Controleren en maken om de sjabloon te valideren.
- Controleer de parameters en klik op Maken om de resources te implementeren.
- Wacht tot de implementatie is voltooid (duurt meestal 2-5 minuten).
Geïmplementeerde resources verifiëren:
- Controleer na de implementatie of de volgende resources zijn gemaakt:
- Eindpunt voor gegevensverzameling (DCE): Controleer Azure Portal > Eindpunten > voor gegevensverzameling bewaken
-
Regels voor gegevensverzameling (DDR's): controleer Azure Portal > Regels voor gegevensverzameling bewaken >
-
Kopieer de OPNAME-URI voor DCE-logboeken vanaf de dce-overzichtspagina (indeling:
https://<dce-name>.<region>.ingest.monitor.azure.com) -
Kopieer de DCE-resource-id van de dce-overzichtspagina (indeling:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>) - Noteer voor elke DCR de onveranderbare id op de pagina Overzicht . U hebt deze nodig voor de configuratie van VirtualMetric DataStream.
-
Kopieer de OPNAME-URI voor DCE-logboeken vanaf de dce-overzichtspagina (indeling:
VirtualMetric DataStream-integratie configureren
VirtualMetric DataStream instellen om beveiligingstelemetrie te verzenden naar Microsoft Sentinel tabellen.
VirtualMetric DataStream-configuratie openen:
- Meld u aan bij uw VirtualMetric DataStream-beheerconsole .
- Navigeer naar de sectie Fleet Management > Targets .
- Klik op de knop Nieuw doel toevoegen .
- Selecteer Microsoft Sentinel doel.
Algemene instellingen configureren:
- Naam: Voer een naam in voor uw doel (bijvoorbeeld "cus01-ms-sentinel")
- Beschrijving: geef eventueel een beschrijving op voor de doelconfiguratie
Azure-verificatie configureren (kies op basis van stap 1): voor service-principalverificatie:
- Beheerde identiteit voor Azure: Uitgeschakeld blijven
- Tenant-id: voer de map-id (tenant) in stap 1 in
- Client-id: voer de toepassings-id (client) in stap 1 in
- Clientgeheim: voer de waarde van het clientgeheim uit stap 1 in voor Azure beheerde identiteit:
- Beheerde identiteit voor Azure: ingesteld op Ingeschakeld
Eigenschappen van Stream configureren:
- Eindpunt: kies uw configuratiemethode:
-
Voor handmatige configuratie van de stroom: voer de OPNAME-URI voor DCE-logboeken in (indeling:
https://<dce-name>.<region>.ingest.monitor.azure.com) -
Voor detectie van automatische stream: voer de DCE-resource-id in (indeling:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)- Streams: Selecteer Automatisch voor automatische streamdetectie of configureer indien nodig specifieke streams
-
Gegevensopname controleren in Microsoft Sentinel:
- Terug naar uw Log Analytics-werkruimte
- Voer voorbeeldquery's uit op de ASIM-tabellen om te bevestigen dat er gegevens worden ontvangen:
ASimNetworkSessionLogs | where TimeGenerated > ago(1h) | take 10 - Controleer het dashboard Microsoft Sentinel Overzicht op nieuwe gegevensbronnen en het aantal gebeurtenissen.
VirtualMetric DataStream voor Microsoft Sentinel data lake
Ondersteund door:VirtualMetric
VirtualMetric DataStream-connector implementeert regels voor gegevensverzameling om beveiligingstelemetrie op te nemen in Microsoft Sentinel Data Lake.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- App-registratie of beheerde identiteit Azure: VirtualMetric DataStream vereist een Entra id-identiteit om logboeken te verifiëren en te verzenden naar Microsoft Sentinel Data Lake. U kunt kiezen tussen het maken van een app-registratie met client-id en clientgeheim of het gebruik van Azure Beheerde identiteit voor verbeterde beveiliging zonder referentiebeheer.
- Roltoewijzing van resourcegroep: de gekozen identiteit (app-registratie of beheerde identiteit) moet worden toegewezen aan de resourcegroep die het eindpunt voor gegevensverzameling bevat met de volgende rollen: Monitoring Metrics Publisher (voor logboekopname) en Bewakingslezer (voor leesstreamconfiguratie).
Installatie-instructies:
VirtualMetric DataStream configureren voor Microsoft Sentinel data lake
Configureer de VirtualMetric DataStream voor Microsoft Sentinel data lake om gegevens te verzenden.
Toepassing registreren in Microsoft Entra ID (optioneel)
Kies uw verificatiemethode: Optie A: Gebruik Azure Beheerde identiteit (aanbevolen)
- Sla deze stap over als u van plan bent om Azure Managed Identity te gebruiken voor verificatie.
- Azure Beheerde identiteit biedt een veiligere verificatiemethode zonder referenties te beheren.
Optie B: Een service-principaltoepassing registreren
Open de pagina Microsoft Entra ID:
- Klik op de opgegeven koppeling om de Microsoft Entra ID registratiepagina op een nieuw tabblad te openen.
- Zorg ervoor dat u bent aangemeld met een account met de machtigingen Toepassingsbeheerder of Globale beheerder .
Een nieuwe toepassing maken:
- Selecteer in de Microsoft Entra ID-portal App-registraties in de linkernavigatiebalk.
- Klik op + Nieuwe registratie.
- Vul de volgende velden in:
- Naam: voer een beschrijvende naam in voor de app (bijvoorbeeld 'VirtualMetric ASIM Connector').
- Ondersteunde accounttypen: Kies Alleen accounts in deze organisatiemap (één tenant).
-
Omleidings-URI: laat dit leeg.
- Klik op Registreren om de toepassing te maken.
Toepassings- en tenant-id's kopiëren:
- Zodra de app is geregistreerd, noteert u de toepassings-id (client) en map -id (tenant) op de pagina Overzicht . U hebt deze nodig voor de configuratie van VirtualMetric DataStream.
Een clientgeheim maken:
- Klik in de sectie Certificaten & geheimen op + Nieuw clientgeheim.
- Voeg een beschrijving toe (bijvoorbeeld 'VirtualMetric ASIM Secret') en stel een juiste verloopperiode in.
- Klik op Toevoegen.
- Kopieer de waarde van het clientgeheim onmiddellijk, omdat deze niet opnieuw wordt weergegeven. Sla deze veilig op voor virtualmetric datastream-configuratie.
Vereiste machtigingen toewijzen
Wijs de vereiste rollen toe aan de door u gekozen verificatiemethode (service-principal of beheerde identiteit) in de resourcegroep.
Voor service-principal (als u stap 1 hebt voltooid):
Navigeer naar Uw resourcegroep:
- Open de Azure Portal en navigeer naar de resourcegroep die uw Log Analytics-werkruimte bevat en waar regels voor gegevensverzameling (DDR's) worden geïmplementeerd.
Wijs de rol Uitgever van metrische bewakingsgegevens toe:
- Klik in de resourcegroep op Toegangsbeheer (IAM) in het linkermenu.
- Klik op + Toevoegen en selecteer Roltoewijzing toevoegen.
- Zoek en selecteer op het tabblad Rol de optie Monitoring Metrics Publisher.
- Klik op Volgende om naar het tabblad Leden te gaan .
- Selecteer onder Toegang toewijzen aan de optie Gebruiker, groep of service-principal.
- Klik op + Leden selecteren en zoek uw geregistreerde toepassing op naam of client-id.
- Selecteer uw toepassing en klik op Selecteren.
- Klik op Controleren en toewijzen om de toewijzing te voltooien.
Wijs de rol Lezer voor bewaking toe:
- Herhaal hetzelfde proces om de rol Bewakingslezer toe te wijzen:
- Klik op + Toevoegen en selecteer Roltoewijzing toevoegen.
- Zoek en selecteer op het tabblad Rol de optie Lezer voor bewaking.
- Volg hetzelfde selectieproces als hierboven.
- Klik op Controleren en toewijzen om de toewijzing te voltooien. Voor Azure Beheerde identiteit:
Uw beheerde identiteit maken of identificeren:
- Als u door het systeem toegewezen beheerde identiteit gebruikt: schakel deze in op uw Azure resource (VM, App Service, enzovoort).
- Als u door de gebruiker toegewezen beheerde identiteit gebruikt: maak er een in uw resourcegroep als deze niet bestaat.
Wijs de rol Uitgever van metrische bewakingsgegevens toe:
- Volg dezelfde stappen als hierboven, maar op het tabblad Leden :
- Selecteer beheerde identiteit onder Toegang toewijzen aan.
- Klik op + Leden selecteren , kies het juiste type beheerde identiteit en selecteer uw identiteit.
- Klik op Selecteren en vervolgens tweemaal controleren en toewijzen om te voltooien.
Wijs de rol Lezer voor bewaking toe:
- Herhaal het proces om de rol Bewakingslezer toe te wijzen aan dezelfde beheerde identiteit. Samenvatting van vereiste machtigingen: de toegewezen rollen bieden de volgende mogelijkheden:
- Uitgever van metrische gegevens bewaken: gegevens schrijven naar DCE (Data Collection Endpoints) en telemetrie verzenden via Regels voor gegevensverzameling (DCR)
- Bewakingslezer: Leesstreamconfiguratie en toegang tot Log Analytics-werkruimte voor opname van ASIM-tabellen
Azure-infrastructuur implementeren
Implementeer het vereiste eindpunt voor gegevensverzameling (DCE) en regels voor gegevensverzameling (DCR) voor Microsoft Sentinel data lake-tabellen met behulp van onze ARM-sjabloon.
Implementeren in Azure:
- Klik op de knop Implementeren naar Azure hieronder om de vereiste infrastructuur automatisch te implementeren:
- portal.azure.com
- Hiermee gaat u rechtstreeks naar de Azure Portal om de implementatie te starten.
Implementatieparameters configureren:
- Configureer op de pagina aangepaste implementatie de volgende instellingen:
Projectdetails:
- Abonnement: selecteer uw Azure-abonnement in de vervolgkeuzelijst
- Resourcegroep: selecteer een bestaande resourcegroep of klik op Nieuwe maken om een nieuwe instantiedetails te maken:
- Regio: selecteer de Azure regio waar uw Log Analytics-werkruimte zich bevindt (bijvoorbeeld Europa - west)
- Werkruimte: voer de naam van uw Log Analytics-werkruimte in
- DCE-naam: geef een naam op voor het eindpunt voor gegevensverzameling (bijvoorbeeld 'vmetric-dce')
- DCR-naamvoorvoegsel: geef een voorvoegsel op voor de regels voor gegevensverzameling (bijvoorbeeld 'vmetric-dcr')
Voltooi de implementatie:
- Klik op Controleren en maken om de sjabloon te valideren.
- Controleer de parameters en klik op Maken om de resources te implementeren.
- Wacht tot de implementatie is voltooid (duurt meestal 2-5 minuten).
Geïmplementeerde resources verifiëren:
- Controleer na de implementatie of de volgende resources zijn gemaakt:
- Eindpunt voor gegevensverzameling (DCE): Controleer Azure Portal > Eindpunten > voor gegevensverzameling bewaken
-
Regels voor gegevensverzameling (DDR's): controleer Azure Portal > Regels voor gegevensverzameling bewaken >
-
Kopieer de OPNAME-URI voor DCE-logboeken vanaf de dce-overzichtspagina (indeling:
https://<dce-name>.<region>.ingest.monitor.azure.com) -
Kopieer de DCE-resource-id van de dce-overzichtspagina (indeling:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>) - Noteer voor elke DCR de onveranderbare id op de pagina Overzicht . U hebt deze nodig voor de configuratie van VirtualMetric DataStream.
-
Kopieer de OPNAME-URI voor DCE-logboeken vanaf de dce-overzichtspagina (indeling:
VirtualMetric DataStream-integratie configureren
VirtualMetric DataStream instellen om beveiligingstelemetrie te verzenden naar Microsoft Sentinel Data Lake-tabellen.
VirtualMetric DataStream-configuratie openen:
- Meld u aan bij uw VirtualMetric DataStream-beheerconsole .
- Navigeer naar de sectie Fleet Management > Targets .
- Klik op de knop Nieuw doel toevoegen .
- Selecteer Microsoft Sentinel doel.
Algemene instellingen configureren:
- Naam: Voer een naam in voor uw doel (bijvoorbeeld "cus01-ms-sentinel")
- Beschrijving: geef eventueel een beschrijving op voor de doelconfiguratie
Azure-verificatie configureren (kies op basis van stap 1): voor service-principalverificatie:
- Beheerde identiteit voor Azure: Uitgeschakeld blijven
- Tenant-id: voer de map-id (tenant) in stap 1 in
- Client-id: voer de toepassings-id (client) in stap 1 in
- Clientgeheim: voer de waarde van het clientgeheim uit stap 1 in voor Azure beheerde identiteit:
- Beheerde identiteit voor Azure: ingesteld op Ingeschakeld
Eigenschappen van Stream configureren:
- Eindpunt: kies uw configuratiemethode:
-
Voor handmatige configuratie van de stroom: voer de OPNAME-URI voor DCE-logboeken in (indeling:
https://<dce-name>.<region>.ingest.monitor.azure.com) -
Voor detectie van automatische stream: voer de DCE-resource-id in (indeling:
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)- Streams: Selecteer Automatisch voor automatische streamdetectie of configureer indien nodig specifieke streams
-
Gegevensopname controleren in Microsoft Sentinel Data Lake:
- Terug naar uw Log Analytics-werkruimte
- Voer voorbeeldquery's uit op de ASIM-tabellen om te bevestigen dat er gegevens worden ontvangen:
ASimNetworkSessionLogs | where TimeGenerated > ago(1h) | take 10 - Controleer het dashboard Microsoft Sentinel Overzicht op nieuwe gegevensbronnen en het aantal gebeurtenissen.
VirtualMetric Director-proxy
Ondersteund door:VirtualMetric
VirtualMetric Director Proxy implementeert een Azure-functie-app om VirtualMetric DataStream veilig te koppelen aan Azure services, waaronder Microsoft Sentinel, Azure Data Explorer en Azure Storage.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure functie-app: er moet een Azure-functie-app worden geïmplementeerd om de Director-proxy te hosten. Vereist lees-, schrijf- en verwijdermachtigingen voor Microsoft.Web/sites-resources binnen uw resourcegroep om de functie-app te maken en te beheren.
- VirtualMetric DataStream-configuratie: u moet VirtualMetric DataStream configureren met verificatiereferenties om verbinding te maken met de Director-proxy. De Director Proxy fungeert als een veilige brug tussen VirtualMetric DataStream en Azure services.
- Doel Azure Services: configureer uw doel Azure services, zoals Microsoft Sentinel eindpunten voor gegevensverzameling, Azure Data Explorer clusters of Azure Storage-accounts waar de Director Proxy gegevens doorstuurt.
Installatie-instructies:
VirtualMetric Director-proxy implementeren
Implementeer de Azure-functie-app die fungeert als een beveiligde proxy tussen VirtualMetric DataStream en Microsoft Sentinel.
Vereisten en implementatievolgorde
Aanbevolen implementatievolgorde:
Voor een optimale configuratie kunt u eerst de doelconnectors implementeren:
Microsoft Sentinel-connector implementeren: implementeer eerst de VirtualMetric DataStream voor Microsoft Sentinel connector om de vereiste eindpunten en regels voor gegevensverzameling te maken.
Implementeer Microsoft Sentinel Data Lake Connector (optioneel): als u Microsoft Sentinel Data Lake-tabellen gebruikt, implementeert u de VirtualMetric DataStream voor Microsoft Sentinel Data Lake-connector.
Director-proxy implementeren (deze stap): de Director-proxy kan vervolgens worden geconfigureerd met uw Microsoft Sentinel doelen. Opmerking: Deze volgorde wordt aanbevolen, maar niet vereist. U kunt de Director Proxy onafhankelijk implementeren en deze later configureren met uw doelen.
Azure-functie-app implementeren
Implementeer de VirtualMetric Director-proxy Azure functie-app met behulp van de knop Implementeren naar Azure.
Implementeren in Azure:
- Klik op de knop Implementeren naar Azure hieronder om de functie-app te implementeren:
- portal.azure.com
Implementatieparameters configureren:
- Abonnement: selecteer uw Azure-abonnement
- Resourcegroep: kies dezelfde resourcegroep als uw Microsoft Sentinel werkruimte of maak een nieuwe
- Regio: selecteer de Azure regio (moet overeenkomen met uw Microsoft Sentinel werkruimteregio)
- Naam van functie-app: geef een unieke naam op voor de functie-app (bijvoorbeeld 'vmetric-director-proxy')
Volledige implementatie:
- Klik op Controleren en maken om de parameters te valideren
- Klik op Maken om de functie-app te implementeren
- Wacht tot de implementatie is voltooid (meestal 3-5 minuten)
- Noteer de URL van de functie-app:
https://<function-app-name>.azurewebsites.net
Machtigingen voor functie-apps configureren
Wijs de benodigde machtigingen toe aan de beheerde identiteit van de functie-app voor toegang tot Microsoft Sentinel resources.
Beheerde identiteit System-Assigned inschakelen:
- Navigeer naar uw geïmplementeerde functie-app in Azure Portal
- Ga naar Identiteit onder Instellingen
- Schakel Status in op Aan voor door het systeem toegewezen identiteit
- Klik op Opslaan en bevestigen
Navigeer naar Resourcegroep:
- Ga naar de resourcegroep met uw Microsoft Sentinel werkruimte en eindpunten voor gegevensverzameling
Vereiste rollen toewijzen:
- Toegangsbeheer (IAM) openen
- Klik op + Roltoewijzing toevoegen >
- Wijs de volgende rollen toe aan de door het systeem toegewezen beheerde identiteit van de functie-app:
- Uitgever van metrische gegevens bewaken: voor het verzenden van gegevens naar eindpunten voor gegevensverzameling
- Bewakingslezer: voor het lezen van de configuratie van regels voor gegevensverzameling
Selecteer de identiteit van de functie-app:
- Selecteer op het tabblad Leden de optie Beheerde identiteit
- Kies Functie-app en selecteer uw geïmplementeerde Director Proxy-functie-app
- De roltoewijzing voltooien
Toegangstoken voor functie-app ophalen (optioneel voor verificatie met functiesleutel):
- Navigeer naar uw functie-app
- Ga naar App-sleutels onder Functions
- Kopieer de standaardhostsleutel of maak een nieuwe functiesleutel voor verificatie
VirtualMetric DataStream-integratie configureren
Stel VirtualMetric DataStream in om beveiligingstelemetrie te verzenden naar Microsoft Sentinel via de Director-proxy.
VirtualMetric DataStream-configuratie openen:
- Meld u aan bij uw VirtualMetric DataStream-beheerconsole
- Navigeer naar de sectie Doelen
- Klik op doelen Microsoft Sentinel
- Klik op Nieuw doel toevoegen of bewerk een bestaand Microsoft Sentinel doel
Algemene instellingen configureren:
- Naam: voer een naam in voor uw doel (bijvoorbeeld 'sentinel-with-proxy')
- Beschrijving: geef eventueel een beschrijving op voor de doelconfiguratie
Azure-verificatie configureren: voor verificatie van service-principals:
- Beheerde identiteit voor Azure: Uitgeschakeld blijven
- Tenant-id: voer uw Azure Active Directory-tenant-id in
- Client-id: voer de toepassings-id van uw service-principal in
- Clientgeheim: voer het clientgeheim van de service-principal in voor Azure Beheerde identiteit:
- Beheerde identiteit voor Azure: ingesteld op Ingeschakeld
Director-proxy configureren (op Azure tabblad Eigenschappen):
-
Eindpuntadres: voer de URL van de functie-app in stap 2 in (indeling:
https://<function-app-name>.azurewebsites.net) - Toegangstoken: voer de hostsleutel van de functie-app in stap 3 in (optioneel bij gebruik van beheerde identiteit)
-
Eindpuntadres: voer de URL van de functie-app in stap 2 in (indeling:
Eigenschappen van Stream configureren:
-
Eindpunt: voer de opname-URI voor DCE-logboeken in (indeling:
https://<dce-name>.<region>.ingest.monitor.azure.com) - Streams: Selecteer Automatisch voor automatische streamdetectie of configureer indien nodig specifieke streams
-
Eindpunt: voer de opname-URI voor DCE-logboeken in (indeling:
Gegevensopname controleren in Microsoft Sentinel:
- Terug naar uw Log Analytics-werkruimte
- Voer voorbeeldquery's uit om te bevestigen dat gegevens worden ontvangen:
CommonSecurityLog | where TimeGenerated > ago(1h) | take 10 - Controleer het Microsoft Sentinel Overzichtsdashboard op nieuwe gegevensbronnen en het aantal gebeurtenissen
VMRayThreatIntelligence (met behulp van Azure Functions)
Ondersteund door:VMRay
DE VMRayThreatIntelligence-connector genereert automatisch bedreigingsinformatie en voert deze in voor alle inzendingen naar VMRay, waardoor de detectie van bedreigingen en de reactie op incidenten in Sentinel worden verbeterd. Deze naadloze integratie stelt teams in staat om opkomende bedreigingen proactief aan te pakken.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ThreatIntelligenceIndicator |
Ja | Nee |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Abonnement: Azure Abonnement met de rol eigenaar is vereist om een toepassing te registreren in Azure Active Directory() en de rol van inzender toe te wijzen aan de app in de resourcegroep.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: VMRay API-sleutel is vereist.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de VMRay-API om VMRay Threat IOC's in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname en voor het opslaan van gegevens in Azure Blob Storage kosten. Raadpleeg de pagina Azure Functions prijzen en Azure Blob Storage pagina met prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
VMRay Threat Intelligence Connector implementeren
Zorg ervoor dat u aan alle vereiste vereisten voldoet: client-id, tenant-id, clientgeheim, VMRay-API-sleutel en VMRay-basis-URL.
Volg deze instructies om de client-id, het clientgeheim en de tenant-id te verkrijgen
Klik voor het Flex Consumption Plan hieronder op de knop Implementeren naar Azure:
Klik voor het Premium-abonnement op de knop Implementeren in Azure hieronder:
VMware Carbon Black Cloud via AWS S3 (via Codeless Connector Framework)
Ondersteund door:Microsoft
De VMware Carbon Black Cloud via AWS S3-gegevensconnector biedt de mogelijkheid om volglijst-, waarschuwingen-, verificatie- en eindpuntgebeurtenissen op te nemen via AWS S3 en deze te streamen naar genormaliseerde ASIM-tabellen. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CarbonBlack_Alerts_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Omgeving: U moet de volgende AWS-resources hebben gedefinieerd en geconfigureerd: S3, Simple Queue Service (SQS), IAM-rollen en machtigingenbeleid
- Omgeving: U moet het carbon black-account en de vereiste machtigingen hebben om een gegevens doorgestuurd naar AWS S3-buckets te maken. Zie Carbon Black Data Forwarder Docs voor meer informatie
Installatie-instructies:
- AWS CloudFormation-implementatie Om toegang op AWS te configureren, zijn er twee sjablonen gegenereerd om de AWS-omgeving in te stellen voor het verzenden van logboeken van de S3-bucket naar uw Log Analytics-werkruimte.
Maak voor elke sjabloon Stack in AWS:
- Ga naar AWS CloudFormation Stacks
- Kies in AWS de optie Een sjabloonbestand uploaden en klik op Bestand kiezen. Selecteer de gedownloade sjabloon
- Klik op 'Volgende' en 'Stack maken'
- Sjabloon 1: Implementatie van OpenID Connect-verificatie: <variabele waarde opgegeven tijdens de installatie>
- Sjabloon 2: implementatie van AWS Carbon Black-resources: <variabele waarde opgegeven tijdens de installatie> Bij het implementeren van sjabloon 2: IMPLEMENTATIE van AWS Carbon Black-resources moet u enkele parameters opgeven
- Stacknaam: een stacknaam naar keuze (wordt weergegeven in de lijst met stacks in AWS)
- Rolnaam: moet beginnen met het voorvoegsel 'OIDC_', heeft een standaardwaarde.
- Bucketnaam: Bucketnaam naar keuze, als u al een bestaande bucket hebt, plakt u de naam hier
- CreateNewBucket: Als u al een bestaande bucket hebt die u voor deze connector wilt gebruiken, selecteert u 'false' voor deze optie, anders wordt er een bucket gemaakt met de naam die u hebt ingevoerd in Bucket Name op basis van deze stack.
- Regio: Dit is de regio van de AWS-resources op basis van de toewijzing van Carbon Black. Zie de carbon black-documentatie voor meer informatie.
- SQSQueuePrefix: De stack maakt meerdere wachtrijen. Dit voorvoegsel wordt aan elk van deze wachtrijen toegevoegd.
- WorkspaceID: gebruik de onderstaande werkruimte-id.
- Werkruimte-id: <variabele waarde die wordt opgegeven tijdens de installatie> Zodra de implementatie is voltooid, gaat u naar het tabblad Uitvoer en ziet u: Rol-ARN, S3-bucket en 4 SQS-resources gemaakt. U hebt deze resources in de volgende stap nodig bij het configureren van de gegevensstuurservers van Carbon Black en de gegevensconnector.
Configuratie van carbon black-gegevens doorstuurserver nadat alle AWS-resources zijn gemaakt, moet u Carbon Black configureren om de gebeurtenissen door te sturen naar de AWS-buckets voor Microsoft Sentinel om ze op te nemen. Volg de documentatie van Carbon Black over het maken van een 'Data Forwarders' Gebruik de eerste aanbevolen optie. Wanneer u wordt gevraagd een bucketnaam in te voeren, gebruikt u de bucket die u in de vorige stap hebt gemaakt. U moet 'S3-voorvoegsel' toevoegen voor elke doorstuurserver. Gebruik deze toewijzing:
Gebeurtenistype S3-voorvoegsel Waarschuwing carbon-black-cloud-doorstuurserver/waarschuwingen Verificatie-gebeurtenissen carbon-black-cloud-forwarder/Auth Eindpuntevenementen carbon-black-cloud-doorstuurserver/eindpunt Watchlist Hit carbon-black-cloud-forwarder/Watchlist
2.1. Test uw gegevensstuurserver (optioneel) Als u wilt controleren of de gegevens doorstuurserver is geconfigureerd zoals verwacht, zoekt u in de portal van Carbon Black naar de gegevensstuurserver die u zojuist hebt gemaakt en klikt u op de knop Doorstuurserver testen onder de kolom 'Acties'. Hiermee genereert u een 'HealthCheck'-bestand in de S3-bucket. U ziet dat het onmiddellijk wordt weergegeven.
- Nieuwe verzamelaars verbinden Als u AWS S3 wilt inschakelen voor Microsoft Sentinel, klikt u op de knop 'Nieuwe collector toevoegen', vult u de vereiste gegevens in, de ARN-rol en de SQS-URL worden gemaakt in stap 1. Houd er rekening mee dat u de juiste SQS-URL moet invoeren en het juiste gebeurtenistype in de vervolgkeuzelijst moet selecteren. Als u bijvoorbeeld waarschuwingsgebeurtenissen wilt opnemen, moet u de SQS-URL voor waarschuwingen kopiëren en het gebeurtenistype 'Waarschuwingen' selecteren in de vervolgkeuzelijst
- Raster van gegevensconnectors (configureren in de portal)
Windows DNS-gebeurtenissen via AMA
Ondersteund door:Microsoft Corporation
Met de Windows DNS-logboekconnector kunt u eenvoudig alle analyselogboeken van uw Windows DNS-servers filteren en streamen naar uw Microsoft Sentinel werkruimte met behulp van de Azure Bewakingsagent (AMA). Als u deze gegevens in Microsoft Sentinel hebt, kunt u problemen en beveiligingsrisico's identificeren, zoals:
- Schadelijke domeinnamen proberen op te lossen.
- Verouderde resourcerecords.
- Vaak opgevraagde domeinnamen en spraakmakende DNS-clients.
- Aanvallen uitgevoerd op DNS-server.
U kunt de volgende inzichten krijgen in uw Windows DNS-servers via Microsoft Sentinel:
- Alle logboeken zijn gecentraliseerd op één plaats.
- Belasting van DNS-servers aanvragen.
- Dynamische DNS-registratiefouten.
Windows DNS-gebeurtenissen worden ondersteund door Advanced SIEM Information Model (ASIM) en streamen gegevens naar de tabel ASimDnsActivityLogs. Meer informatie.
Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ASimDnsActivityLogs |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Windows Firewall
Ondersteund door:Microsoft Corporation
Windows Firewall is een Microsoft Windows-toepassing die informatie filtert die via internet naar uw systeem komt en mogelijk schadelijke programma's blokkeert. De software blokkeert de meeste programma's van communicatie via de firewall. Gebruikers voegen gewoon een programma toe aan de lijst met toegestane programma's, zodat het kan communiceren via de firewall. Wanneer u een openbaar netwerk gebruikt, kan Windows Firewall het systeem ook beveiligen door alle ongevraagde pogingen om verbinding te maken met uw computer te blokkeren. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Windows Firewall-gebeurtenissen via AMA
Ondersteund door:Microsoft Corporation
Windows Firewall is een Microsoft Windows-toepassing die informatie filtert die via internet naar uw systeem komt en mogelijk schadelijke programma's blokkeert. De firewallsoftware blokkeert de meeste programma's van communicatie via de firewall. Als u uw Windows Firewall-toepassingslogboeken wilt streamen die zijn verzameld van uw computers, gebruikt u de Azure Monitor-agent (AMA) om deze logboeken naar de Microsoft Sentinel werkruimte te streamen.
Een geconfigureerd eindpunt voor gegevensverzameling (DCE) moet worden gekoppeld aan de regel voor gegevensverzameling (DCR) die is gemaakt voor het verzamelen van logboeken door de AMA. Voor deze connector wordt automatisch een DCE gemaakt in dezelfde regio als de werkruimte. Als u al een DCE gebruikt die is opgeslagen in dezelfde regio, is het mogelijk om de standaard gemaakte DCE te wijzigen en uw bestaande DCE te gebruiken via de API. DCE's kunnen zich in uw resources bevinden met het voorvoegsel SentinelDCE in de resourcenaam.
Zie de volgende artikelen voor meer informatie:
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Door Windows doorgestuurde gebeurtenissen
Ondersteund door:Microsoft Corporation
U kunt alle Wef-logboeken (Windows Event Forwarding) streamen vanaf de Windows-servers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van Azure Monitor Agent (AMA). Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
WindowsEvent |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Windows-beveiliging gebeurtenissen via AMA
Ondersteund door:Microsoft Corporation
U kunt alle beveiligingsevenementen streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityEvent |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
WithSecure Elements-API (Azure functie)
Ondersteund door:WithSecure
WithSecure Elements is het geïntegreerde cloudplatform voor cyberbeveiliging dat is ontworpen om risico's, complexiteit en inefficiëntie te verminderen.
Verhoog uw beveiliging van uw eindpunten naar uw cloudtoepassingen. Bewapen jezelf tegen elk type cyberbedreiging, van gerichte aanvallen tot zero-day ransomware.
WithSecure Elements combineert krachtige voorspellende, preventieve en responsieve beveiligingsmogelijkheden, allemaal beheerd en bewaakt via één beveiligingscentrum. Onze modulaire structuur en flexibele prijsmodellen geven u de vrijheid om te evolueren. Met onze expertise en inzicht bent u altijd in staat en bent u nooit alleen.
Met Microsoft Sentinel integratie kunt u gegevens van beveiligingsincidenten uit de Oplossing WithSecure Elements correleren met gegevens uit andere bronnen, waardoor u een uitgebreid overzicht van uw hele omgeving krijgt en sneller kunt reageren op bedreigingen.
Met deze oplossing wordt Azure Functie geïmplementeerd in uw tenant, waarbij periodiek wordt gepeild naar de beveiligingsevenementen van WithSecure Elements.
Ga voor meer informatie naar onze website op: https://www.withsecure.com.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
WsSecurityEvents_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Clientreferenties voor De Api vanSecure Elements: clientreferenties zijn vereist. Raadpleeg de documentatie voor meer informatie.
Installatie-instructies:
1. Api-referenties voor WithSecure Elements maken
Volg de gebruikershandleiding om referenties voor de Elements-API te maken. Sla referenties op een veilige plaats op.
2. Maak Microsoft Entra toepassing
Nieuwe Microsoft Entra toepassing en referenties maken. Volg de instructies en sla waarden op van Map-id (tenant), Object-id, Toepassings-id (client) en Clientgeheim (uit het veld clientreferenties). Vergeet niet om het clientgeheim op een veilige plaats op te slaan.
3. Functie-app implementeren
OPMERKING: Deze connector maakt gebruik van Azure Functions om logboeken op te halen uit WithSecure Elements. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla Microsoft Entra clientreferenties en Clientreferenties van De WithSecure Elements-API veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
BELANGRIJK: Voordat u de WithSecure Elements-connector implementeert, moet u beschikken over de werkruimtenaam (kan worden gekopieerd uit het volgende), gegevens uit Microsoft Entra (directory-id (tenant), object-id, toepassings-id (client) en clientgeheim), evenals de clientreferenties van WithSecure Elements, direct beschikbaar.
- Werkruimtenaam: <variabele waarde opgegeven tijdens de installatie>
Alle resources implementeren die betrekking hebben op de connector
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, Entra client-id, Entra clientgeheim, Entra tenant-id, Elements API-client-id, Clientgeheim van de Elements-API in.
Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie. 4. U kunt ook optionele velden invullen: Url van elements-API, engine, enginegroep. Gebruik de standaardwaarde van de URL van de Elements-API, tenzij u een speciaal geval hebt. Engine en enginegroep zijn toegewezen aan aanvraagparameters voor beveiligingsevenementen, vul deze parameters in als u alleen geïnteresseerd bent in gebeurtenissen van een specifieke engine of enginegroep, voor het geval u alle beveiligingsevenementen wilt ontvangen, verlaten de velden met standaardwaarden. 5. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 6. Klik op Aanschaffen om te implementeren.
Wiz (met Azure Functions)
Ondersteund door:Wiz
Met de Wiz-connector kunt u eenvoudig Wiz-problemen, bevindingen voor beveiligingsproblemen en auditlogboeken verzenden naar Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Nee | Nee |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Nee | Nee |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Referenties voor Wiz-serviceaccount: zorg ervoor dat u de client-id en het clientgeheim, de API-eindpunt-URL en de verificatie-URL van uw Wiz-serviceaccount hebt. Instructies vindt u in de Wiz-documentatie.
Installatie-instructies:
OPMERKING: Deze connector: maakt gebruik van Azure Functions om verbinding te maken met de Wiz-API om Wiz-problemen, bevindingen voor beveiligingsproblemen en auditlogboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie. Hiermee maakt u een Azure Key Vault met alle vereiste parameters die als geheimen zijn opgeslagen.
STAP 1: Uw Wiz-referenties ophalen
Volg de instructies in de Wiz-documentatie om de referenties op te halen.
STAP 2: de connector en de bijbehorende Azure-functie implementeren
BELANGRIJK: Voordat u de Wiz-connector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende), evenals de Wiz-referenties uit de vorige stap.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: Implementeren met behulp van de arm-sjabloon (Azure Resource Manager)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de volgende parameters in:
Kies KeyVaultName en FunctionName voor de nieuwe resources
Voer de volgende Wiz-referenties in stap 1 in: WizAuthUrl, WizEndpointUrl, WizClientId en WizClientSecret
Voer de werkruimtereferenties AzureLogsAnalyticsWorkspaceId en AzureLogAnalyticsWorkspaceSharedKey in
Kies de Wiz-gegevenstypen die u naar Microsoft Sentinel wilt verzenden, kies er ten minste één uit Wiz-problemen, Bevindingen van beveiligingsproblemen en Auditlogboeken.
(optioneel) volg de Wiz-documentatie om IssuesQueryFilter, VulnerbailitiesQueryFilter en AuditLogsQueryFilter toe te voegen.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
Optie 2: Handmatige implementatie van de functie Azure
Volg de Wiz-documentatie om de connector handmatig te implementeren.
Workday-gebruikersactiviteit
Ondersteund door:Microsoft Corporation
De Workday User Activity-gegevensconnector biedt de mogelijkheid om gebruikersactiviteitslogboeken van de Workday-API op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ASimAuditEventLogs |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Toegang tot de Workday-gebruikersactiviteit-API: toegang tot de Gebruikersactiviteit-API van Workday via Oauth is vereist. De API-client moet het bereik systeem hebben en moet worden geautoriseerd door een account met systeemcontrolemachtigingen.
Installatie-instructies:
Maak verbinding met Workday om te beginnen met het verzamelen van gebruikersactiviteitenlogboeken in Microsoft Sentinel
- Ga in Workday naar de taak Tenantinstellingen bewerken - Beveiliging, controleer de sectie OAuth 2.0-instellingen en controleer of het selectievakje 'OAuth 2.0-clients ingeschakeld' is ingeschakeld.
- Ga in Workday naar de taak Tenantinstallatie bewerken - Systeem, controleer de sectie Logboekregistratie van gebruikersactiviteiten en controleer of het selectievakje Logboekregistratie van gebruikersactiviteit inschakelen is ingeschakeld.
- Ga in Workday naar de taak API-client registreren.
- Definieer de clientnaam, selecteer het 'Type clienttoekenning': 'Autorisatiecode verlenen' en selecteer vervolgens 'Toegangstokentype': 'Bearer'
- Voer de 'Omleidings-URI' in het onderstaande formulier in
- Selecteer in de sectie Bereik (functionele gebieden) de optie Systeem en klik onderaan op OK
- Kopieer de client-id en het clientgeheim voordat u van de pagina navigeert en sla deze veilig op.
- Geef in Sentinel op de connectorpagina vereiste eindpunten voor token, autorisatie en gebruikersactiviteitslogboeken op, samen met client-id en clientgeheim uit de vorige stap. Klik vervolgens op 'Verbinding maken'.
- Er verschijnt een Workday-pop-up om de OAuth2-verificatie en -autorisatie van de API-client te voltooien. Hier moet u referenties opgeven voor het Workday-account met de machtigingen 'Systeemcontrole' in Workday (dit kan een Workday-account of een integratiesysteemgebruiker zijn).
- Zodra dat is voltooid, wordt het bericht weergegeven om uw API-client te autoriseren
- Tokeneindpunt: (https://wd2-impl-services1.workday.com/ccx/oauth2/{tenantName}/token)
- Autorisatie-eindpunt: (https://impl.workday.com/{tenantName}/authorize)
- **Gebruikersactiviteitenlogboeken Eindpunt, het eindigt met /activityLogging **: (https://wd2-impl-services1.workday.com/ccx/api/privacy/v1/{tenantName}/activityLogging)
Workplace van Facebook (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Workplace-gegevensconnector biedt de mogelijkheid om veelvoorkomende Workplace-gebeurtenissen op te nemen in Microsoft Sentinel via Webhooks. Met Webhooks kunnen aangepaste integratie-apps zich abonneren op gebeurtenissen in Workplace en in realtime updates ontvangen. Wanneer er een wijziging optreedt in Workplace, wordt een HTTPS POST-aanvraag met gebeurtenisgegevens verzonden naar de URL van een callback-gegevensconnector. Raadpleeg de Webhooks-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Workplace_Facebook_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Webhooks-referenties/-machtigingen: WorkplaceAppSecret, WorkplaceVerifyToken, Callback-URL zijn vereist voor werkende webhooks. Raadpleeg de documentatie voor meer informatie over het configureren van Webhooks en het configureren van machtigingen.
Installatie-instructies:
OPMERKING: Deze gegevensconnector maakt gebruik van Azure Functions op basis van HTTP-trigger voor wachtende POST-aanvragen met logboeken om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure Functions-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u Log Analytics/Microsoft Sentinel blade Logboeken, klikt u op Functions en zoekt u naar de alias WorkplaceFacebook en laadt u de functiecode of klikt u hier op de tweede regel van de query, voert u de hostnaam(en) van uw Workplace Facebook-apparaat(en) en eventuele andere unieke id's voor de logstream in. Het duurt meestal 10-15 minuten om de functie te activeren na installatie/update van de oplossing.
STAP 1: configuratiestappen voor de werkplek
Volg de instructies voor het configureren van Webhooks.
- Meld u aan bij De Werkplek met Beheer gebruikersreferenties.
- Klik in het deelvenster Beheer op Integraties.
- Klik in de weergave Alle integraties op Aangepaste integratie maken
- Voer de naam en beschrijving in en klik op Maken.
- In het deelvenster Integratiedetails toont u App-geheim en -kopie.
- Stel alle leesmachtigingen in bij Integratiemachtigingen . Raadpleeg de machtigingspagina voor meer informatie.
- Ga nu verder met STAP 2 om de stappen (vermeld in optie 1 of 2) te volgen om de Azure-functie te implementeren.
- Voer de aangevraagde parameters in en voer ook een token naar keuze in. Kopieer dit token/noteer het voor de volgende stap.
- Nadat de implementatie van Azure Functions is voltooid, opent u de pagina Functie-app, selecteert u uw app, gaat u naar Functions, klikt u op Functie-URL ophalen en kopieert u deze/noteer deze voor de volgende stap.
- Terug naar Workplace vanuit Facebook. Stel in het deelvenster Webhooks configureren op elk tabblad callback-URL in op dezelfde waarde die u hebt gekopieerd in punt 9 hierboven en Controleer token als dezelfde waarde die u hebt gekopieerd in punt 8 hierboven die is verkregen tijdens stap 2 van Azure Functions implementatie.
- Klik op Opslaan.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure Functions
BELANGRIJK: Voordat u de Workplace-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Workplace-gegevensconnector met behulp van een ARM-tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer het WorkplaceVerifyToken in (kan elke expressie zijn, kopiëren en opslaan voor STAP 1), WorkplaceAppSecret en implementeren. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren. 6. Nadat u de pagina Functie-app hebt geïmplementeerd, selecteert u uw app, gaat u naar de functies en klikt u op Functie-URL ophalen kopieert u deze en volgt u p.7 uit STAP 1.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Sophos Endpoint Protection-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
XBOW-beveiligingsplatform (via Azure-functie)
Ondersteund door:XBOW
De XBOW-gegevensconnector neemt momentopnamen van assets, bevindingen van beveiligingsproblemen en evaluatieactiviteiten van het XBOW-beveiligingsplatform op in Microsoft Sentinel. Een Azure-functie peilt de XBOW-API op een timer en pusht JSON-momentopnamen naar XbowAssets_CL, verrijkte bevindingen (met bewijs, PoC-recepten, impact en oplossingen) naar XbowFindings_CL, en evaluatielevenscyclusgebeurtenissen naar XbowAssessments_CL, met behulp van de Azure Monitor Ingestion API (DCE/DCR).
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
XbowAssets_CL |
Nee | Nee |
XbowFindings_CL |
Nee | Nee |
XbowAssessments_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- XBOW API-token: een persoonlijk XBOW-toegangstoken is vereist. Genereer er een in de XBOW-console onder Instellingen > Persoonlijke toegangstokens. Bereik het token naar de organisatie die u wilt bewaken.
- XBOW-organisatie-id: de organisatie-id van uw XBOW-account. Zoek deze in de URL van de XBOW-console of via de API.
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Aangepaste vereisten indien nodig, verwijder anders dit douanelabel: Beschrijving voor eventuele aangepaste vereisten
- Azure AD-app-registratie: een Azure AD-app-registratie (service-principal) is vereist. Na de implementatie moet u de rol Uitgever van metrische gegevens voor bewaking voor de regel voor gegevensverzameling (DCR) handmatig toewijzen aan deze app-registratie.
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions en de Azure Monitor Ingestion API (DCE/DCR) om XBOW-assets, -bevindingen en -evaluaties op te nemen in Microsoft Sentinel. Met de ARM-sjabloon worden automatisch het eindpunt voor gegevensverzameling, aangepaste logboektabellen (
XbowAssets_CL,XbowFindings_CLenXbowAssessments_CL), gegevensverzamelingsregel en functie-app gemaakt. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina Azure Functions prijzen en Azure Pagina Prijzen controleren voor meer informatie.
(Optionele stap) Sla uw XBOW API-token- en app-registratiereferenties veilig op in Azure Key Vault. Volg deze instructies om Azure Key Vault verwijzingen te gebruiken met een Azure-functie-app.
STAP 1: een XBOW API-token genereren
- Meld u aan bij de XBOW-console met beheerderstoegang.
- Klik op uw profielpictogram (rechtsboven) en selecteer Instellingen.
- Klik in de linkerzijbalk op Persoonlijke toegangstokens.
- Klik op Nieuw token genereren, geef een naam op en selecteer het organisatiebereik.
- Kopieer en sla uw token veilig op. Het wordt niet meer weergegeven.
- Noteer uw organisatie-id vanuit de XBOW-console of vanuit de URL wanneer u uw organisatie bekijkt.
STAP 2: een Azure AD app-registratie maken en DCR-rol verlenen
- Navigeer in de Azure Portal naar Azure Active Directory > App-registraties > Nieuwe registratie.
- Geef een naam op (bijvoorbeeld
Xbow-Sentinel-Connector) en registreer u. - Maak onder Certificaten & geheimen een nieuw clientgeheim. Noteer de tenant-id, client-id en clientgeheim.
- Implementeer de connector met behulp van stap 3 hieronder en keer hier terug.
- Open de geïmplementeerde regel voor gegevensverzameling (vanuit de implementatie-uitvoer of door te zoeken in de resourcegroep).
- Ga naar Toegangsbeheer (IAM) > Roltoewijzing toevoegen.
- Selecteer publisher voor rolbewaking van metrische gegevens.
- Wijs toegang toe tot de app-registratie (service-principal) die hierboven is gemaakt.
- Wacht een paar minuten op RBAC-doorgifte voordat u de opname verifieert.
STAP 3: de Azure-functie-app implementeren
Klik op Implementeren om te Azure en vul de parameters in. Met de sjabloon worden automatisch de tabellen Eindpunt voor gegevensverzameling, XbowAssets_CL, XbowFindings_CLen XbowAssessments_CL , regel voor gegevensverzameling en functie-app gemaakt.
In te vullen parameters:
| Parameter | Beschrijving |
|---|---|
WorkspaceName |
Naam van uw Log Analytics/Microsoft Sentinel-werkruimte |
XbowApiToken |
XBOW Persoonlijk toegangstoken uit stap 1 |
XbowOrgId |
XBOW-organisatie-id uit stap 1 |
TenantId |
tenant-id Azure AD uit stap 2 |
ClientId |
Client-id voor app-registratie uit stap 2 |
ClientSecret |
Clientgeheim voor app-registratie uit stap 2 |
AppInsightsWorkspaceResourceID |
Volledige resource-id van de Log Analytics-werkruimte (van Eigenschappen van Log Analytics-werkruimte>) |
FunctionAppLocation |
Optionele Azure regio voor functie-app-resources (standaard de locatie van de resourcegroep) |
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
Zero Networks-segment (push)
Ondersteund door:Zero Networks
Met de pushconnector zero networks-segment kan Zero Networks in realtime audits, netwerkactiviteiten, identiteitsactiviteiten en RPC-activiteiten rechtstreeks naar Microsoft Sentinel verzenden. Implementeer de connector om een regel voor gegevensverzameling (DCR) en Microsoft Entra app te maken. Configureer vervolgens uw Zero Networks-toepassing met de verbindingsgegevens voor pushgebeurtenissen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ZNAudit_CL |
Ja | Ja |
ZNNetworkActivity_CL |
Ja | Ja |
ZNIdentityActivity_CL |
Ja | Ja |
ZNRPCActivity_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Microsoft Entra: machtiging voor het maken van een app-registratie in Microsoft Entra ID. Vereist doorgaans Entra id-rol Toepassingsontwikkelaar of hoger.
- Microsoft Azure: machtiging om de rol Monitoring Metrics Publisher toe te wijzen aan een regel voor gegevensverzameling (DCR). Vereist doorgaans Azure rol RBAC-eigenaar of beheerder van gebruikerstoegang.
Installatie-instructies:
1. Maak ARM-resources en geef de vereiste machtigingen op
Implementeer de pushconnector om een Log Analytics-tabel, een regel voor gegevensverzameling (DCR), een eindpunt voor gegevensverzameling (DCE) en Microsoft Entra-app te maken. Configureer vervolgens uw Zero Networks-toepassing met de verbindingsgegevens.
Automatische configuratie die op Implementeren klikt, maakt een DCR en DCE, vervolgens een Microsoft Entra app-registratie met clientgeheim en verleent machtigingen voor de DCR. Uw toepassing kan vervolgens gegevens veilig verzenden met behulp van OAuth 2.0-clientreferenties.
2. Uw Zero Networks-toepassing configureren
Gebruik de volgende waarden om uw Zero Networks-toepassing te configureren om controles, netwerkactiviteiten, identiteitsactiviteiten en RPC-activiteiten te pushen naar Microsoft Sentinel.
- Tenant-id (directory-id):< variabele waarde opgegeven tijdens de installatie>
- Entra toepassings-id: <variabele waarde opgegeven tijdens de installatie>
- Entra Toepassingsgeheim: <variabele waarde opgegeven tijdens de installatie>
- Eindpunt-URI voor gegevensverzameling: <variabele waarde opgegeven tijdens de installatie>
- Onveranderbare id voor gegevensverzamelingsregel: <variabele waarde opgegeven tijdens de installatie>
- Stream: Controles: <variabele waarde opgegeven tijdens de installatie>
- Stream: Netwerkactiviteiten: <variabele waarde opgegeven tijdens de installatie>
- Stream: Identiteitsactiviteiten: <variabele waarde opgegeven tijdens de installatie>
- Stream: RPC-activiteiten: <variabele waarde opgegeven tijdens de installatie>
Zero Networks Segment Audit
Ondersteund door:Zero Networks
De Zero Networks Segment Audit-gegevensconnector biedt de mogelijkheid om Zero Networks-auditgebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Deze gegevensconnector maakt gebruik van Microsoft Sentinel systeemeigen pollingfunctie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Zero Networks API-token: ZeroNetworksAPIToken is vereist voor REST API. Zie de API-handleiding en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies:
Zero Networks verbinden met Microsoft Sentinel
Voer de URL van de Zero Networks-API in (bijvoorbeeld portal.zeronetworks.com). De connector voegt automatisch https:// en /api/v1/audit toe. Geef vervolgens uw API-sleutel op en klik op Verbinding maken.
- API-URL van Zero Networks: (portal.zeronetworks.com)
- ApiKey: (ApiKey)
- Verbinding in-/uitschakelen
- Raster van gegevensconnectors (configureren in de portal)
ZeroFox CTI
Ondersteund door:ZeroFox
De ZeroFox CTI-gegevensconnectors bieden de mogelijkheid om de verschillende ZeroFox cyber threat intelligence-waarschuwingen op te nemen in Microsoft Sentinel.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Nee | Nee |
ZeroFox_CTI_botnet_CL |
Nee | Nee |
ZeroFox_CTI_breaches_CL |
Nee | Nee |
ZeroFox_CTI_C2_CL |
Nee | Nee |
ZeroFox_CTI_compromised_credentials_CL |
Nee | Nee |
ZeroFox_CTI_credit_cards_CL |
Nee | Nee |
ZeroFox_CTI_dark_web_CL |
Nee | Nee |
ZeroFox_CTI_discord_CL |
Nee | Nee |
ZeroFox_CTI_disruption_CL |
Nee | Nee |
ZeroFox_CTI_email_addresses_CL |
Nee | Nee |
ZeroFox_CTI_exploits_CL |
Nee | Nee |
ZeroFox_CTI_irc_CL |
Nee | Nee |
ZeroFox_CTI_malware_CL |
Nee | Nee |
ZeroFox_CTI_national_ids_CL |
Nee | Nee |
ZeroFox_CTI_phishing_CL |
Nee | Nee |
ZeroFox_CTI_phone_numbers_CL |
Nee | Nee |
ZeroFox_CTI_ransomware_CL |
Nee | Nee |
ZeroFox_CTI_telegram_CL |
Nee | Nee |
ZeroFox_CTI_threat_actors_CL |
Nee | Nee |
ZeroFox_CTI_vulnerabilities_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- ZeroFox API-referenties/-machtigingen: ZeroFox Username, ZeroFox Personal Access Token zijn vereist voor ZeroFox CTI REST API.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de ZeroFox CTI REST API om logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: ZeroFox-referenties ophalen:
Volg deze instructies voor het instellen van logboekregistratie en het verkrijgen van referenties.
- Meld u aan bij de website van ZeroFox. met uw gebruikersnaam en wachtwoord 2: klik op de knop Instellingen en ga naar de sectie Gegevensconnectors. 3 - Selecteer het tabblad API-GEGEVENSFEEDs en ga naar de onderkant van de pagina, selecteer <<Opnieuw instellen>> in het vak API-gegevens om een persoonlijk toegangstoken te verkrijgen dat samen met uw gebruikersnaam moet worden gebruikt.
STAP 2: de Azure functiegegevensconnectors implementeren met behulp van de sjabloon Azure Resource Manager:
BELANGRIJK: Voordat u de ZeroFox CTI-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende) direct beschikbaar hebben.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Resources voorbereiden voor implementatie.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep, de Log Analytics-werkruimte en de locatie.
Voer de werkruimte-id, werkruimtesleutel, ZeroFox-gebruikersnaam, ZeroFox persoonlijk toegangstoken in
Klik op Controleren en maken om te implementeren.
ZeroFox Enterprise - Waarschuwingen (Polling CCF)
Ondersteund door:ZeroFox
Verzamelt waarschuwingen van de ZeroFox-API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ZeroFoxAlertPoller_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- ZeroFox Personal Access Token (PAT): Een ZeroFox PAT is vereist. U kunt deze ophalen in gegevensconnectors >API-gegevensfeeds.
Installatie-instructies:
ZeroFox verbinden met Microsoft Sentinel
ZeroFox verbinden met Microsoft Sentinel
- Geef uw ZeroFox PAT op: (Zerofox PAT)
- Verbinding in-/uitschakelen
Zimperium Mobile Threat Defense
Ondersteund door:Zimperium
Zimperium Mobile Threat Defense-connector biedt u de mogelijkheid om het Zimperium-bedreigingslogboek te verbinden met Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en onderzoek te verbeteren. Dit geeft u meer inzicht in het mobiele bedreigingslandschap van uw organisatie en verbetert uw mogelijkheden voor beveiligingsbewerkingen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ZimperiumThreatLog_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Installatie-instructies:
Zimperium MTD configureren en verbinden
- Klik in zConsole op Beheren op de navigatiebalk.
- Klik op het tabblad Integraties .
- Klik op de knop Bedreigingsrapportage en vervolgens op de knop Integraties toevoegen .
- Maak de integratie:
- Selecteer Microsoft Microsoft Sentinel in de beschikbare integraties.
- Voer uw werkruimte-id en primaire sleutel in de onderstaande velden in en klik op Volgende.
- Vul een naam in voor uw Microsoft Sentinel-integratie.
- Selecteer een filterniveau voor de bedreigingsgegevens die u naar Microsoft Sentinel wilt pushen.
- Klik op Voltooien.
- Raadpleeg de zimperium-klantenondersteuningsportal voor aanvullende instructies.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Zoomrapporten (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De gegevensconnector zoomrapporten biedt de mogelijkheid om zoomrapportengebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg de API-documentatie voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Zoom_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: AccountID, ClientID en ClientSecret zijn vereist voor zoom-API. Zie Zoom-API voor meer informatie. Volg de instructies voor Zoom-API-configuraties.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Zoom-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u Log Analytics/Microsoft Sentinel blade Logboeken, klikt u op Functies en zoekt u naar de alias Zoom en laadt u de functiecode of klikt u hier. Het duurt meestal 10-15 minuten om de functie te activeren na installatie/update van de oplossing.
STAP 1: configuratiestappen voor de Zoom-API
Volg de instructies om de referenties te verkrijgen.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de gegevensconnector Zoom Reports implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Zoom Audit-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, Function Name in en klik op Beoordelen en maken. 4. Klik ten slotte op Maken om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Zoom Reports-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld ZoomXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app
Stap 2: de functie-app configureren
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): AccountID ClientID ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (optioneel) Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us. - Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Zoom Reports Connector (via Connector Framework zonder code)
Ondersteund door:Microsoft Corporation
Met de Zoom Reports-gegevensconnector kunt u Zoom Reports-gegevens opnemen in Microsoft Sentinel via de Zoom REST API v2, zodat u zoomgebruik in uw organisatie kunt bewaken en controleren. Deze connector maakt gebruik van server-naar-server OAuth-accountreferenties voor verificatie en ondersteunt opname van meerdere rapporttypen, waaronder dagelijkse gebruiksrapporten voor vergaderingsstatistieken en metrische gegevens over gebruik, gebruikersrapporten voor actieve/inactieve gebruikershostgegevens, telefonierapporten voor statistieken over telefoniegebruik, gebruiksrapporten voor cloudopnamen voor cloudopslag en opnamegebruik, bewerkingslogboeken voor beheerbewerkingen en audittrail, en activiteitenlogboeken voor aanmeldings-/afmeldingsactiviteiten van gebruikers. Elk rapporttype wordt verzameld in een afzonderlijke polling-configuratie met automatische pagineringsondersteuning met behulp van NextPageToken. De gegevensconnector is gebouwd op Microsoft Sentinel Codeless Connector Framework en ondersteunt op DCR gebaseerde opnametijdtransformaties voor geoptimaliseerde queryprestaties.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
ZoomV2_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Toegang tot Zoom-API: Toegang tot Zoom REST API v2 met accountreferenties
Installatie-instructies:
1. Zoomconfiguratie
Server-to-Server OAuth-app configureren en referenties verzamelen
Stap 1: Zoom Server-to-Server OAuth-app instellen, volg Een app maken. Zorg ervoor dat u rapporten gerelateerde bereiken aan uw app toevoegt:
- rapport:read:list_users:admin
- rapport:read:cloud_recording:admin
- rapport:read:daily_usage:admin
- rapport:read:operation_logs:admin
- rapport:read:telephone:admin
- rapport:read:user_activities:admin
Zie OAuth-documentatie en rapporten-API's voor Zoom Server-naar-Server voor meer informatie.
Stap 2: Uw app-referenties ophalen
Zoek uw app-referenties (account-id, client-id en clientgeheim) op uw Personal app management pagina op de Zoom App Marketplace
Beveiligingsnotities
Account-id, client-id en clientgeheim veilig opslaan
Referenties regelmatig roteren voor verbeterde beveiliging
- Client-id: (Client-id van Zoom-app)
- Clientgeheim: (Clientgeheim zoom-app)
- Account-id: (uw Zoom-account-id)
- Tokenbasis-URL: (https://zoom.us/oauth/token)
- API-basis-URL: (https://api.zoom.us/v2)
2. Verbinding maken
De connector Rapporten inzoomen inschakelen
De connector activeren
Controleer uw Zoom App-referenties in stap 2 en schakel vervolgens de connector in om te beginnen met het verzamelen van Zoom-rapportengegevens.
Monitoring
Controleer de aankomst van gegevens met behulp van deze query's:
Controleer alle rapporttypen:
ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType
Specifiek rapporttype controleren:
ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10
Connectorstatus bewaken:
ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc
- Verbinding in-/uitschakelen
Afgeschafte Sentinel-gegevensconnectors
Opmerking
De volgende tabel bevat de afgeschafte en verouderde gegevensconnectors. Afgeschafte connectors worden niet meer ondersteund.
[Afgeschaft] Auth0-logboeken (met Azure-functie) (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De gegevensconnector Auth0-logboeken (met behulp van Azure Function) biedt de mogelijkheid om Auth0-logboekgebeurtenissen op te nemen in Microsoft Sentinel
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Auth0AM_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: API-token is vereist. Zie API-token voor meer informatie
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de Auth0 Management-API's om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de Auth0 Management-API
Volg de instructies om de referenties te verkrijgen.
- Ga in Auth0 Dashboard naar Toepassingen>.
- Selecteer uw toepassing. Dit moet een 'Machine-to-Machine'-toepassing zijn die is geconfigureerd met ten minste lees-:logboeken en lees:logs_users-machtigingen .
- Domein, ClientID, Clientgeheim kopiëren
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Auth0 Access Management-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor automatische implementatie van de Auth0 Access Management-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer het domein, client-id, clientgeheim, AzureSentinelWorkspaceId, AzureSentinelSharedKey in. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Auth0 Access Management-gegevensconnector handmatig te implementeren met Azure Functions (Implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld Auth0AMXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
[Afgeschaft] GitHub Enterprise-auditlogboek
Ondersteund door:Microsoft Corporation
De GitHub-connector voor auditlogboeken biedt de mogelijkheid om GitHub-logboeken op te nemen in Microsoft Sentinel. Door GitHub-auditlogboeken te verbinden met Microsoft Sentinel, kunt u deze gegevens bekijken in werkmappen, deze gebruiken om aangepaste waarschuwingen te maken en uw onderzoeksproces te verbeteren.
Opmerking: Als u van plan bent om gebeurtenissen met GitHub-abonnementen op te nemen in Microsoft Sentinel, raadpleegt u GitHub Connector (met webhooks) in de galerie Gegevensconnectors.
OPMERKING: deze gegevensconnector is afgeschaft. Overweeg om over te stappen op de CCF-gegevensconnector die beschikbaar is in de oplossing die opname vervangt via de afgeschafte HTTP-gegevensverzamelaar-API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
GitHubAuditLogPolling_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Persoonlijk toegangstoken van GitHub API: U hebt een persoonlijk toegangstoken van GitHub nodig om polling in te schakelen voor het auditlogboek van de organisatie. U kunt een klassiek token gebruiken met het bereik 'read:org' OF een fijnmazig token met het bereik 'Beheer: alleen-lezen'.
- GitHub Enterprise-type: deze connector werkt alleen met GitHub Enterprise Cloud; het biedt geen ondersteuning voor GitHub Enterprise Server.
Installatie-instructies:
Het auditlogboek op organisatieniveau van GitHub Enterprise verbinden met Microsoft Sentinel
Schakel GitHub-auditlogboeken in. Volg deze handleiding om uw persoonlijke toegangstoken te maken of te vinden.
[Afgeschaft] Infoblox SOC Insight-gegevensconnector via verouderde agent
Ondersteund door:Infoblox
Met de Infoblox SOC Insight Data Connector kunt u eenvoudig uw Infoblox BloxOne SOC Insight-gegevens verbinden met Microsoft Sentinel. Door uw logboeken te verbinden met Microsoft Sentinel, kunt u profiteren van de verrijking & correlatie, waarschuwingen en bedreigingsinformatie voor elk logboek.
Deze gegevensconnector neemt Infoblox SOC Insight CDC-logboeken op in uw Log Analytics-werkruimte met behulp van de verouderde Log Analytics-agent.
Microsoft raadt de installatie van Infoblox SOC Insight Data Connector via AMA Connector aan. De verouderde connector maakt gebruik van de Log Analytics-agent die op het punt staat te worden afgeschaft op 31 augustus 2024 en moet alleen worden geïnstalleerd waar AMA niet wordt ondersteund.
Het gebruik van MMA en AMA op dezelfde computer kan leiden tot logboekduplicatie en extra opnamekosten. Meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CommonSecurityLog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Installatie-instructies:
Werkruimtesleutels
Als u de playbooks als onderdeel van deze oplossing wilt gebruiken, vindt u hieronder de werkruimte-id en primaire sleutel van de werkruimte hieronder.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Werkruimtesleutel: <variabele waarde opgegeven tijdens de installatie>
Parsers
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht InfobloxCDC_SOCInsights die wordt geïmplementeerd met de Microsoft Sentinel-oplossing.
SOC Insights
Voor deze gegevensconnector wordt ervan uitgegaan dat u toegang hebt tot Infoblox BloxOne Threat Defense SOC Insights. Meer informatie over SOC Insights vindt u hier.
Infoblox Cloud Data Connector
Deze gegevensconnector gaat ervan uit dat er al een Infoblox Data Connector-host is gemaakt en geconfigureerd in de Infoblox Cloud Services Portal (CSP). Omdat de Infoblox-gegevensconnector een functie van BloxOne Threat Defense is, is toegang tot een geschikt BloxOne Threat Defense-abonnement vereist. Zie deze snelstartgids voor meer informatie en licentievereisten.
1. Linux Syslog-agentconfiguratie
Installeer en configureer de Linux agent om uw Ceflog-berichten (Common Event Format) te verzamelen en door te sturen naar Microsoft Sentinel.
U ziet dat de gegevens uit alle regio's worden opgeslagen in de geselecteerde werkruimte
1.1 Een Linux machine selecteren of maken
Selecteer of maak een Linux machine die Microsoft Sentinel gebruikt als proxy tussen uw beveiligingsoplossing en Microsoft Sentinel deze machine zich in uw on-premises omgeving, Azure of andere clouds kan bevinden.
1.2 Installeer de CEF-collector op de Linux machine
Installeer de Microsoft Monitoring Agent op uw Linux machine en configureer de computer om te luisteren op de benodigde poort en berichten door te sturen naar uw Microsoft Sentinel werkruimte. De CEF-collector verzamelt CEF-berichten op poort 514 TCP.
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version.
U moet verhoogde machtigingen (sudo) hebben op uw computer.
- Voer de volgende opdracht uit om de CEF-collector te installeren en toe te passen:: <variabele waarde die tijdens de installatie is opgegeven>
2. Configureer Infoblox BloxOne in de Infoblox Cloud Services Portal om CEF Syslog-gegevens te verzenden naar de Infoblox Cloud Data Connector om door te sturen naar de Syslog-agent
Volg de onderstaande stappen om de Infoblox CDC te configureren om BloxOne-gegevens te verzenden naar Microsoft Sentinel via de Linux Syslog-agent.
- Navigeer naar Gegevensconnector beheren>.
- Klik op het tabblad Doelconfiguratie bovenaan.
- Klik op Syslog maken>.
- Naam: geef de nieuwe bestemming een duidelijke naam, zoals Microsoft-Sentinel-Destination.
- Beschrijving: geef het desgewenst een zinvolle beschrijving.
- Status: stel de status in op Ingeschakeld.
- Indeling: stel de notatie in op CEF.
- FQDN/IP: voer het IP-adres in van het Linux apparaat waarop de Linux-agent is geïnstalleerd.
- Poort: laat het poortnummer op 514 staan.
- Protocol: selecteer het gewenste protocol en ca-certificaat, indien van toepassing.
- Klik op Opslaan & Sluiten.
- Klik op het tabblad Verkeersstroomconfiguratie bovenaan.
- Klik op Maken.
- Naam: geef de nieuwe verkeersstroom een duidelijke naam, zoals Microsoft-Sentinel-Flow.
- Beschrijving: geef het desgewenst een zinvolle beschrijving.
- Status: stel de status in op Ingeschakeld.
- Vouw de sectie Service-exemplaar uit .
- Service-exemplaar: selecteer het gewenste service-exemplaar waarvoor de Data Connector-service is ingeschakeld.
- Vouw de sectie Bronconfiguratie uit .
- Bron: Selecteer BloxOne-cloudbron.
- Selecteer het type intern meldingenlogboek .
- Vouw de sectie Doelconfiguratie uit .
- Selecteer de bestemming die u zojuist hebt gemaakt.
- Klik op Opslaan & Sluiten.
- De configuratie enige tijd toestaan om te activeren.
3. Verbinding valideren
Volg de instructies om uw connectiviteit te valideren:
Open Log Analytics om te controleren of de logboeken worden ontvangen met behulp van het CommonSecurityLog-schema.
Het kan ongeveer 20 minuten duren voordat de verbinding gegevens naar uw werkruimte streamt.
Als de logboeken niet worden ontvangen, voert u het volgende verbindingsvalidatiescript uit:
Zorg ervoor dat Python op uw computer staat met behulp van de volgende opdracht: python -version
U moet verhoogde machtigingen (sudo) op uw computer hebben
- Voer de volgende opdracht uit om uw connectiviteit te valideren:: <variabele waarde die is opgegeven tijdens de installatie>
**4. Beveilig uw computer **
Zorg ervoor dat u de beveiliging van de computer configureert volgens het beveiligingsbeleid van uw organisatie
[Afgeschaft] IONIX-beveiligingslogboeken (push)
Ondersteund door:IONIX
⚠️ Deze connector is afgeschaft en wordt in juni 2026 verwijderd. Gebruik in plaats daarvan de nieuwe connector IONIX-beveiligingslogboeken (via Codeless Connector Framework), die automatische dagelijkse polling biedt zonder handmatige configuratie in de IONIX-portal.
De gegevensconnector ionix-beveiligingslogboeken neemt logboeken van het IONIX-systeem rechtstreeks op in Sentinel. Met de connector kunnen gebruikers hun gegevens visualiseren, waarschuwingen en incidenten maken en beveiligingsonderzoeken verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CyberpionActionItems_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- IONIX-abonnement: een abonnement en account zijn vereist voor IONIX-logboeken. Eentje kan hier worden verkregen.
Installatie-instructies:
Volg de instructies om IONIX-beveiligingswaarschuwingen te integreren in Sentinel.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
[Afgeschaft] Uitkijk
Ondersteund door:Lookout
De Lookout-gegevensconnector biedt de mogelijkheid om Lookout-gebeurtenissen op te nemen in Microsoft Sentinel via de Mobile Risk-API. Raadpleeg de API-documentatie voor meer informatie. De Lookout-gegevensconnector biedt de mogelijkheid om gebeurtenissen op te halen waarmee potentiële beveiligingsrisico's en meer kunnen worden onderzocht.
OPMERKING: deze gegevensconnector is afgeschaft. Overweeg om over te stappen op de CCF-gegevensconnector die beschikbaar is in de oplossing die opname vervangt via de afgeschafte HTTP-gegevensverzamelaar-API.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Lookout_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Mobile Risk API-referenties/-machtigingen: EnterpriseName & ApiKey zijn vereist voor Mobile Risk API. Zie API voor meer informatie. Controleer alle vereisten en volg de instructies voor het verkrijgen van referenties.
Installatie-instructies:
OPMERKING: Deze Lookout-gegevensconnector maakt gebruik van Azure Functions om verbinding te maken met de Mobile Risk-API om de gebeurtenissen in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht LookoutEvents die wordt geïmplementeerd met de Microsoft Sentinel Solution.
STAP 1: configuratiestappen voor de Mobile Risk-API
Volg de instructies om de referenties te verkrijgen.
STAP 2: volg de onderstaande instructies voor het implementeren van de Lookout-gegevensconnector en de bijbehorende Azure-functie
BELANGRIJK: Voordat u de implementatie van de Lookout-gegevensconnector start, moet u ervoor zorgen dat de werkruimte-id en werkruimtesleutel gereed zijn (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Werkruimtesleutel: <variabele waarde opgegeven tijdens de installatie>
arm-sjabloon (Azure Resource Manager)
Volg de onderstaande stappen voor automatische implementatie van de Lookout-gegevensconnector met behulp van een ARM-sjabloon.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het voorkeursabonnement, de resourcegroep en de regio.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de functienaam, werkruimte-id, werkruimtesleutel, ondernemingsnaam & API-sleutel in en implementeer. 4. Klik op Maken om te implementeren.
[Afgeschaft] Microsoft Exchange-logboeken en -gebeurtenissen
Ondersteund door:Community
Afgeschaft, gebruikt u de ESI-Opt-gegevensconnectors. U kunt alle Exchange-auditgebeurtenissen, IIS-logboeken, HTTP-proxylogboeken en beveiligingsgebeurtenislogboeken streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit wordt gebruikt door Microsoft Exchange-beveiligingswerkmappen om beveiligings-inzichten te bieden in uw on-premises Exchange-omgeving
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Event |
Ja | Nee |
SecurityEvent |
Ja | Ja |
W3CIISLog |
Ja | Nee |
MessageTrackingLog_CL |
Ja | Ja |
ExchangeHttpProxy_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Azure Log Analytics wordt afgeschaft om gegevens van niet-Azure VM's te verzamelen, Azure Arc wordt aanbevolen. Meer informatie
- Gedetailleerde documentatie: >OPMERKING: Gedetailleerde documentatie over installatieprocedure en gebruik vindt u hier
Installatie-instructies:
OPMERKING: Deze oplossing is gebaseerd op opties. Hiermee kunt u kiezen welke gegevens worden opgenomen, omdat sommige opties een zeer grote hoeveelheid gegevens kunnen genereren. Afhankelijk van wat u wilt verzamelen, bijhouden in uw werkmappen, analyseregels, opsporingsmogelijkheden, kiest u de optie(s) die u gaat implementeren. Elke optie is onafhankelijk van de andere. Voor meer informatie over elke optie: wiki 'Microsoft Exchange Security'
1. Download en installeer de agents die nodig zijn voor het verzamelen van logboeken voor Microsoft Sentinel
Het type servers (Exchange-servers, domeincontrollers die zijn gekoppeld aan Exchange-servers of alle domeincontrollers) is afhankelijk van de optie die u wilt implementeren.
Monitoragents implementeren
Deze stap is alleen vereist als het de eerste keer is dat u uw Exchange-servers/domeincontrollers onboardt
Selecteer welke agent u op uw servers wilt installeren om logboeken te verzamelen:
[Voorkeur] Azure Monitor Agent via Azure Arc
De Azure Arc-agent implementeren Meer informatie
Installeer Azure Log Analytics-agent (afgeschaft op 31-08-2024)
- Download de Azure Log Analytics-agent en kies de implementatiemethode in de onderstaande koppeling.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
2. Logboekinjestion implementeren met de gekozen opties
[Optie 1] VERZAMELING VAN MS Exchange-beheerlogboeken
Selecteren hoe u MS Exchange wilt streamen Beheer Gebeurtenislogboeken controleren
Ms Exchange Beheer Gebeurtenislogboeken controleren
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
Regel voor gegevensverzameling inschakelen Microsoft Exchange Beheer Auditgebeurtenissenlogboeken worden alleen verzameld van Windows-agents.
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DCR.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimtenaam 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCR maken, gebeurtenislogboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in, selecteer Windows als platformtype en geef een naam aan de DCR.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in Verzamelen en leveren een gegevensbrontype 'Windows-gebeurtenislogboeken' toe en selecteer de optie Aangepast, voer 'MSExchange Management' in als expressie en Voeg het toe.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Regels voor gegevensverzameling: wanneer de verouderde Azure Log Analytics-agent wordt gebruikt
De logboeken configureren die moeten worden verzameld
Configureer de gebeurtenissen die u wilt verzamelen en de ernst ervan.
- Selecteer onder Beheer van verouderde agents de optie Windows-gebeurtenislogboeken.
- Klik op Windows-gebeurtenislogboek toevoegen en voer MSExchange Management in als logboeknaam.
- Fout-, waarschuwings- en informatietypen verzamelen
- Klik op Opslaan.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
[Optie 2] Beveiligings-/toepassings-/systeemlogboeken van Exchange-servers
Selecteren hoe u beveiligings-/toepassings-/systeemlogboeken van Exchange-servers wilt streamen
Verzameling beveiligingslogboeken
Regels voor gegevensverzameling - Logboeken voor beveiligingsgebeurtenissen
Gegevensverzamelingsregel inschakelen voor beveiligingslogboeken Logboeken beveiligings gebeurtenissen worden alleen verzameld van Windows-agents .
- Exchange-servers toevoegen op het tabblad Resources .
- Beveiligingslogboekniveau selecteren
Gemeenschappelijk niveau is het minimaal vereiste niveau. Selecteer 'Algemene' of 'Alle beveiligingsevenementen' in DCR-definitie.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
Toepassings- en systeemlogboekverzameling
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
Gegevensverzamelingsregel inschakelen Toepassings- en systeem gebeurtenislogboeken worden alleen verzameld van Windows-agents .
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DCR.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimtenaam 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCR maken, gebeurtenislogboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in, selecteer Windows als platformtype en geef een naam aan de DCR.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in Verzamelen en leveren een gegevensbrontype 'Windows-gebeurtenislogboeken' toe en selecteer de optie Basic.
- Voor Toepassing selecteert u 'Kritiek', 'Fout' en 'Waarschuwing'. Selecteer kritiek/fout/waarschuwing/informatie bij Systeem.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Regels voor gegevensverzameling: wanneer de verouderde Azure Log Analytics-agent wordt gebruikt
De logboeken configureren die moeten worden verzameld
Configureer de gebeurtenissen die u wilt verzamelen en de ernst ervan.
- Selecteer onder Configuratie van geavanceerde instellingen voor werkruimte de optie Gegevens en vervolgens Windows-gebeurtenislogboeken.
- Klik op Windows-gebeurtenislogboek toevoegen en zoek toepassing als logboeknaam.
- Klik op Windows-gebeurtenislogboek toevoegen en zoek systeem als logboeknaam.
- Typen Fout (voor iedereen), Waarschuwing (voor iedereen) en Informatie (voor systeem) verzamelen
- Klik op Opslaan.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
[Optie 3 en 4] Beveiligingslogboeken van domeincontrollers
Selecteer hoe u beveiligingslogboeken van domeincontrollers wilt streamen. Als u optie 3 wilt implementeren, hoeft u alleen dc te selecteren op dezelfde site als Exchange-servers. Als u optie 4 wilt implementeren, kunt u alle DC's van uw forest selecteren.
[Optie 3] Alleen domeincontrollers weergeven op dezelfde site als Exchange-servers voor de volgende stap
Hiermee wordt de hoeveelheid gegevens beperkt die wordt verzonden, maar kan een incident niet worden gedetecteerd.
[Optie 4] Alle domeincontrollers van uw Active-Directory Forest weergeven voor de volgende stap
Hierdoor kunnen alle beveiligingsevenementen worden verzameld
Verzameling beveiligingslogboeken
Regels voor gegevensverzameling - Logboeken voor beveiligingsgebeurtenissen
Gegevensverzamelingsregel inschakelen voor beveiligingslogboeken Logboeken beveiligings gebeurtenissen worden alleen verzameld van Windows-agents .
- Voeg gekozen DC's toe op het tabblad Resources .
- Beveiligingslogboekniveau selecteren
Gemeenschappelijk niveau is het minimaal vereiste niveau. Selecteer 'Algemene' of 'Alle beveiligingsevenementen' in DCR-definitie.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
[Optie 5] IIS-logboeken van Exchange-servers
Iis-logboeken van Exchange-servers streamen
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
IIS-logboeken voor inschakelen van regel voor gegevensverzameling worden alleen verzameld van Windows-agents .
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DCE en DCR.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
U kunt de voorgestelde naam van de DCE wijzigen.
Klik op Maken om te implementeren.
B. Regel voor gegevensverbinding implementeren
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
- Navigeer vanuit de Azure Portal naar Azure Eindpunt voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in en geef de DCE een naam.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. DCR maken, IIS-logboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in, selecteer Windows als platformtype en geef een naam aan de DCR. Selecteer de gemaakte DCE.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in 'Verzamelen en leveren' het gegevensbrontype IIS-logboeken toe (voer geen pad in als het pad van IIS-logboeken standaard is geconfigureerd). Klik op 'Gegevensbron toevoegen'
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Regels voor gegevensverzameling: wanneer de verouderde Azure Log Analytics-agent wordt gebruikt
De logboeken configureren die moeten worden verzameld
Configureer de gebeurtenissen die u wilt verzamelen en de ernst ervan.
- Selecteer onder Configuratie van geavanceerde instellingen voor werkruimte de optie Gegevens en vervolgens IIS-logboeken.
- IIS-logboekbestanden in W3C-indeling verzamelen controleren
- Klik op Opslaan.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
[Optie 6] Berichten bijhouden van Exchange-servers
Selecteren hoe u berichten bijhouden van Exchange-servers wilt streamen
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
Regel voor gegevensverzameling inschakelen Berichten bijhouden worden alleen verzameld van Windows-agents .
Opmerking: Aangepaste logboeken in Monitor Agent zijn in preview. De implementatie werkt momenteel niet zoals verwacht (maart 2023).
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DCE en DCR.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
U kunt de voorgestelde naam van de DCE wijzigen.
Klik op Maken om te implementeren.
B. Gegevensverbindingsregel en aangepaste tabel implementeren
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
- Navigeer vanuit de Azure Portal naar Azure Eindpunt voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basis de vereiste velden in en geef een naam aan de DCE, zoals ESI-ExchangeServers.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. Aangepaste DCR-tabel maken
Download het voorbeeldbestand van Microsoft Sentinel GitHub.
Ga in de Azure Portal naar Werkruimteanalyse en selecteer uw doelwerkruimte.
Klik in 'Tabellen', klik op + Maken bovenaan en selecteer Nieuw aangepast logboek (OP BASIS VAN DCR).
Voer op het tabblad Basisinformatie MessageTrackingLog in op de tabelnaam, maak een regel voor gegevensverzameling met de naam DCR-Option6-MessageTrackingLogs (bijvoorbeeld) en selecteer het eerder gemaakte Eindpunt voor gegevensverzameling.
Kies op het tabblad Schema en transformatie het gedownloade voorbeeldbestand en klik op Transformatie-editor.
Voer in het transformatieveld de volgende KQL-aanvraag in: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-versie'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
Klik op Uitvoeren en na Toepassen.
Klik op Volgende en klik vervolgens op Maken.
C. De gemaakte DCR wijzigen, aangepast logboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Selecteer de eerder gemaakte DCR, zoals DCR-Option6-MessageTrackingLogs.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in Gegevensbronnen het gegevensbrontype Aangepaste tekstlogboeken toe en voer 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log' in het bestandspatroon in, 'MessageTrackingLog_CL' in Tabelnaam. 6.in veld Transformatie voert u de volgende KQL-aanvraag in: bron | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-versie'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
- Klik op Gegevensbron toevoegen.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Regels voor gegevensverzameling: wanneer de verouderde Azure Log Analytics-agent wordt gebruikt
De logboeken configureren die moeten worden verzameld
- Selecteer onder het onderdeel Werkruimte-instellingen de optie Tabellen, klik op + Maken en klik op Nieuw aangepast logboek (op basis van MMA).
- Selecteer Voorbeeldbestand BerichtTracking-voorbeeld en klik op Volgende
- Selecteer Typ Windows en voer het pad C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log in. Klik op Volgende.
- Voer MessageTrackingLog in als tabelnaam en klik op Volgende.
- Klik op Opslaan.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
[Optie 7] HTTP-proxy van Exchange-servers
Http-proxy van Exchange-servers streamen
Regels voor gegevensverzameling - Wanneer Azure Monitor-agent wordt gebruikt
Regel voor gegevensverzameling inschakelen Berichten bijhouden worden alleen verzameld van Windows-agents .
Opmerking: Aangepaste logboeken in Monitor Agent zijn in preview. De implementatie werkt momenteel niet zoals verwacht (maart 2023).
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de DCE en DCR.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
U kunt de voorgestelde naam van de DCE wijzigen.
Klik op Maken om te implementeren.
B. Regel voor gegevensverbinding implementeren
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id 'en/of Andere vereiste velden' in.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Automation
Gebruik de volgende stapsgewijze instructies om een regel voor gegevensverzameling handmatig te implementeren.
A. DCE maken (als dit nog niet is gemaakt voor Exchange-servers)
- Navigeer vanuit de Azure Portal naar Azure Eindpunt voor gegevensverzameling.
- Klik bovenaan op + Maken .
- Vul op het tabblad Basisinformatie de vereiste velden in en geef de DCE een naam.
- 'Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
B. Aangepaste DCR-tabel maken
- Download het voorbeeldbestand van Microsoft Sentinel GitHub.
- Ga in de Azure Portal naar Werkruimteanalyse en selecteer uw doelwerkruimte.
- Klik in 'Tabellen', klik op + Maken bovenaan en selecteer Nieuw aangepast logboek (OP BASIS VAN DCR).
- Voer op het tabblad Basisinformatie ExchangeHttpProxy in op de tabelnaam, maak een regel voor gegevensverzameling met de naam DCR-Option7-HTTPProxyLogs (bijvoorbeeld) en selecteer het eerder gemaakte eindpunt voor gegevensverzameling.
- Kies op het tabblad Schema en transformatie het gedownloade voorbeeldbestand en klik op Transformatie-editor.
- Voer in het transformatieveld de volgende KQL-aanvraag in: *bron | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
- Klik op Uitvoeren en na Toepassen.
- Klik op Volgende en klik vervolgens op Maken.
C. De gemaakte DCR wijzigen, aangepast logboek typen
- Navigeer vanuit de Azure Portal naar Azure Regels voor gegevensverzameling.
- Selecteer de eerder gemaakte DCR, zoals DCR-Option7-HTTPProxyLogs.
- Voer op het tabblad Resources de Exchange-servers in.
- Voeg in Gegevensbronnen het gegevensbrontype Aangepaste tekstlogboeken toe en voer 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log' in het bestandspatroon in, 'ExchangeHttpProxy_CL' in Tabelnaam. 6.in veld Transformatie voert u de volgende KQL-aanvraag in: bron | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
- Klik op Gegevensbron toevoegen.
De DCR toewijzen aan alle Exchange-servers
Al uw Exchange-servers toevoegen aan de DCR
Regels voor gegevensverzameling: wanneer de verouderde Azure Log Analytics-agent wordt gebruikt
De logboeken configureren die moeten worden verzameld
- Selecteer onder het onderdeel Werkruimte-instellingen de optie Tabellen, klik op + Maken en klik op Nieuw aangepast logboek (op basis van MMA).
- Selecteer Voorbeeldbestand BerichtTracking-voorbeeld en klik op Volgende
- Selecteer Typ Windows en voer alle volgende paden in C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log and C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . Klik op Volgende.
- Voer ExchangeHttpProxy in als tabelnaam en klik op Volgende.
- Klik op Opslaan.
- Installatieagent: <variabele waarde opgegeven tijdens de installatie>
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Parsers worden automatisch geïmplementeerd met de oplossing. Volg de stappen om de Kusto Functions-alias te maken: ExchangeAdminAuditLogs
Parsers worden automatisch geïmplementeerd tijdens de implementatie van de oplossing. Als u handmatig wilt implementeren, volgt u de onderstaande stappen
Handmatige parserimplementatie
1. Het parserbestand downloaden
De nieuwste versie van het bestand ExchangeAdminAuditLogs
2. De functie Parser ExchangeAdminAuditLogs maken
Kopieer in logboekverkenner van de log analytics van uw Microsoft Sentinel de inhoud van het bestand naar Log Explorer
3. De functie Parser ExchangeAdminAuditLogs opslaan
Klik op de knop Opslaan. Er is geen parameter nodig voor deze parser. Klik nogmaals op Opslaan.
[Afgeschaft] Okta Single Sign-On (met Azure-functie) (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Okta Single Sign-On -connector (SSO) (met behulp van Azure Function) biedt de mogelijkheid om audit- en gebeurtenislogboeken van de Okta-API op te nemen in Microsoft Sentinel. De connector biedt inzicht in deze logboektypen in Microsoft Sentinel dashboards te bekijken, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Okta_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- Okta API-token: Een Okta API-token is vereist. Raadpleeg de documentatie voor meer informatie over de Okta System Log-API.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met Okta SSO om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
OPMERKING: Deze connector is bijgewerkt. Als u eerder een eerdere versie hebt geïmplementeerd en u deze wilt bijwerken, verwijdert u de bestaande Okta Azure-functie voordat u deze versie opnieuw implementeert.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de Okta SSO-API
Volg deze instructies om een API-token te maken.
Opmerking: raadpleeg de documentatie voor meer informatie over de beperkingen voor frequentielimieten die door Okta worden afgedwongen.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Okta SSO-connector implementeert, hebt u de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit de volgende opties), evenals het Okta SSO API-autorisatietoken, direct beschikbaar.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de Okta SSO-connector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, API-token en URI in.
- Gebruik het volgende schema voor de
uriwaarde:https://<OktaDomain>/api/v1/logs?since=Vervang door<OktaDomain>uw domein. Klik hier voor meer informatie over het identificeren van uw Okta-domeinnaamruimte. Het is niet nodig om een tijdwaarde toe te voegen aan de URI. De functie-app voegt de begintijd van logboeken dynamisch toe aan UTC 0:00 voor de huidige UTC-datum als tijdswaarde aan de URI in de juiste indeling. - Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Okta SSO-connector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
- Voeg elk van de volgende vijf (5) toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): apiToken workspaceID workspaceKey uri logAnalyticsUri (optioneel)
- Gebruik het volgende schema voor de
uriwaarde:https://<OktaDomain>/api/v1/logs?since=Vervang door<OktaDomain>uw domein. Klik hier voor meer informatie over het identificeren van uw Okta-domeinnaamruimte. Het is niet nodig om een tijdwaarde toe te voegen aan de URI. De functie-app voegt de begintijd van logboeken dynamisch toe aan UTC 0:00 voor de huidige UTC-datum als tijdswaarde aan de URI in de juiste indeling. - Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie. - Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://< CustomerId.ods.opinsights.azure.us>.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
[Afgeschaft] SentinelOne (met Azure-functie) (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De SentinelOne-gegevensconnector biedt de mogelijkheid om algemene SentinelOne-serverobjecten zoals Bedreigingen, Agents, Toepassingen, Activiteiten, Beleid, Groepen en meer gebeurtenissen op te nemen in Microsoft Sentinel via de REST API. Raadpleeg api-documentatie: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview voor meer informatie. De connector maakt het ophalen van gebeurtenissen mogelijk om potentiële beveiligingsrisico's te beoordelen, samenwerking te bewaken en configuratieproblemen vast te stellen en op te lossen.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SentinelOne_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
-
REST API-referenties/-machtigingen: SentinelOneAPIToken is vereist. Zie de documentatie voor meer informatie over API op de
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met de SentinelOne-API om de logboeken op te halen in Microsoft Sentinel. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht en die wordt geïmplementeerd als onderdeel van de oplossing. Als u de functiecode in Log Analytics wilt weergeven, opent u log analytics/Microsoft Sentinel blade Logboeken, klikt u op Functies en zoekt u naar de alias SentinelOne en laadt u de functiecode of klikt u hier. Het duurt meestal 10-15 minuten om de functie te activeren na installatie/update van de oplossing.
STAP 1: configuratiestappen voor de SentinelOne-API
Volg de instructies om de referenties te verkrijgen.
- Meld u aan bij de SentinelOne-beheerconsole met Beheer gebruikersreferenties.
- Klik in de beheerconsole op Instellingen.
- Klik in de weergave INSTELLINGEN op GEBRUIKERS
- Klik op Nieuwe gebruiker.
- Voer de gegevens in voor de nieuwe consolegebruiker.
- Selecteer bij Rol Beheer.
- Klik op OPSLAAN.
- Sla referenties van de nieuwe gebruiker op voor gebruik in de gegevensconnector.
OPMERKING: Beheer toegang kan worden gedelegeerd met behulp van aangepaste rollen. Raadpleeg de documentatie van SentinelOne voor meer informatie over aangepaste RBAC.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de SentinelOne-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de SentinelOne Audit-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer het SentinelOneAPIToken, SentinelOneUrl
(https://<SOneInstanceDomain>.sentinelone.net)in en implementeer. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de SentinelOne Reports-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
- Een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
Start VS Code. Kies Bestand in het hoofdmenu en selecteer Map openen.
Selecteer de map op het hoogste niveau uit geëxtraheerde bestanden.
Kies het pictogram Azure op de activiteitsbalk en kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app. Als u nog niet bent aangemeld, kiest u het pictogram Azure in de activiteitsbalk en kiest u vervolgens in het gebied Azure: Functies de optie Aanmelden bij Azure Als u al bent aangemeld, gaat u naar de volgende stap.
Geef de volgende informatie op bij de prompts:
a. Map selecteren: Kies een map in uw werkruimte of blader naar een map met uw functie-app.
b. Selecteer Abonnement: Kies het abonnement dat u wilt gebruiken.
c. Selecteer Nieuwe functie-app maken in Azure (kies niet de optie Geavanceerd)
d. Voer een wereldwijd unieke naam in voor de functie-app: Typ een naam die geldig is in een URL-pad. De naam die u typt, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions. (bijvoorbeeld SOneXXXXX).
e. Selecteer een runtime: Kies Python 3.11.
f. Selecteer een locatie voor nieuwe resources. Voor betere prestaties en lagere kosten kiest u dezelfde regio waar Microsoft Sentinel zich bevindt.
De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.
Ga naar Azure Portal voor de configuratie van de functie-app.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
[Afgeschaft] Sophos Endpoint Protection (met Azure-functie) (met behulp van Azure Functions)
Ondersteund door:Microsoft Corporation
De Sophos Endpoint Protection-gegevensconnector biedt de mogelijkheid om Sophos-gebeurtenissen op te nemen in Microsoft Sentinel. Raadpleeg de documentatie van Sophos Central Beheer voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SophosEP_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- REST API-referenties/-machtigingen: API-token is vereist. Zie API-token voor meer informatie
Installatie-instructies:
OPMERKING: Deze connector maakt gebruik van Azure Functions om verbinding te maken met de Sophos Central-API's om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
OPMERKING: Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie die werkt zoals verwacht SophosEPEvent die wordt geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: configuratiestappen voor de Sophos Central-API
Volg de instructies om de referenties te verkrijgen.
- Ga in Sophos Central Beheer naar Globale instellingen > API-tokenbeheer.
- Als u een nieuw token wilt maken, klikt u op Token toevoegen in de rechterbovenhoek van het scherm.
- Selecteer een tokennaam en klik op Opslaan. Het API-tokenoverzicht voor dit token wordt weergegeven.
- Klik op Kopiëren om de URL en kopteksten van uw API-toegang te kopiëren vanuit de sectie OVERZICHT VAN API-token naar het Klembord.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de Sophos Endpoint Protection-gegevensconnector implementeert, moet u beschikken over de werkruimte-id en primaire sleutel van de werkruimte (kan worden gekopieerd uit het volgende).
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van de Sophos Endpoint Protection-gegevensconnector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
OPMERKING: Binnen dezelfde resourcegroep kunt u Windows en Linux apps in dezelfde regio niet combineren. Selecteer een bestaande resourcegroep zonder Windows-apps of maak een nieuwe resourcegroep. 3. Voer de Toegangs-URL en headers van de Sophos-API in, AzureSentinelWorkspaceId, AzureSentinelSharedKey. 4. Schakel het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden aan. 5. Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de Sophos Endpoint Protection-gegevensconnector handmatig te implementeren met Azure Functions (implementatie via Visual Studio Code).
Stap 1: een functie-app implementeren
OPMERKING: U moet VS-code voorbereiden voor Azure functieontwikkeling.
- Download het bestand Azure Functie-app. Pak het archief uit naar uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
Stap 2: de functie-app configureren
- Ga naar Azure Portal voor de configuratie van de functie-app.
- Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
- Selecteer op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
- Voeg elk van de volgende toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (optioneel)
- Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling:
https://<CustomerId>.ods.opinsights.azure.us.
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
[Afgeschaft] VMware Carbon Black Cloud (met Azure-functie) (met behulp van Azure Functions)
Ondersteund door:Microsoft
De VMware Carbon Black Cloud-connector biedt de mogelijkheid om Carbon Black-gegevens op te nemen in Microsoft Sentinel. De connector biedt inzicht in audit-, meldings- en gebeurtenislogboeken in Microsoft Sentinel om dashboards weer te geven, aangepaste waarschuwingen te maken en de mogelijkheden voor bewaking en onderzoek te verbeteren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
CarbonBlackEvents_CL |
Nee | Nee |
CarbonBlackNotifications_CL |
Nee | Nee |
CarbonBlackAuditLogs_CL |
Nee | Nee |
Ondersteuning voor regels voor gegevensverzameling: Momenteel niet ondersteund
Voorwaarden:
- Machtigingen voor Microsoft.Web/sites: lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Zie Azure Functions voor meer informatie.
- VMware Carbon Black API-sleutel(en): Carbon Black API en/of API-sleutel(s) op SIEM-niveau zijn vereist. Raadpleeg de documentatie voor meer informatie over de Carbon Black-API.
- Een Api-id en -sleutel op het toegangsniveau van Carbon Black is vereist voor audit- en gebeurtenislogboeken .
- Voor meldingen is een API-id en sleutel op het toegangsniveau Carbon Black SIEM vereist.
- Amazon S3 REST API Referenties/machtigingen: AWS Access Key Id, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name in AWS S3 Bucket zijn vereist voor Amazon S3 REST API.
Installatie-instructies:
OPMERKING: Deze connector gebruikt Azure Functions om verbinding te maken met VMware Carbon Black om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met Azure Functions prijzen voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
STAP 1: configuratiestappen voor de VMware Carbon Black-API
Volg deze instructies om een API-sleutel te maken.
STAP 2: kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de VMware Carbon Black-connector implementeert, moet u de werkruimte-id en primaire werkruimtesleutel (kunnen worden gekopieerd uit de volgende opties) en de autorisatiesleutel(s) van de VMware Carbon Black-API direct beschikbaar hebben.
- Werkruimte-id: <variabele waarde opgegeven tijdens de installatie>
- Primaire sleutel: <variabele waarde opgegeven tijdens de installatie>
Optie 1: arm-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de VMware Carbon Black-connector met behulp van een ARM Tempate.
Klik hieronder op de knop Implementeren naar Azure.
Selecteer het gewenste abonnement, de resourcegroep en de locatie.
Voer de werkruimte-id, werkruimtesleutel, logboektypen, API-id('s), API-sleutel(s), Carbon Black Org Key, S3 Bucket Name, AWS Access Key Id, AWS Secret Access Key, EventPrefixFolderName, AlertPrefixFolderName en valideer de URI.
- Voer de URI in die overeenkomt met uw regio. De volledige lijst met API-URL's vindt u hier
- Het standaardtijdsinterval is ingesteld op het ophalen van de laatste vijf (5) minuten aan gegevens. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen (in het function.json-bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
- Carbon Black vereist een afzonderlijke set API-id's/sleutels om meldingen op te nemen. Voer de waarden van de SIEM API-id/-sleutel in of laat leeg, indien niet vereist.
- Opmerking: als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie.
- Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
- Klik op Aanschaffen om te implementeren.
Optie 2: handmatige implementatie van Azure Functions
Gebruik de volgende stapsgewijze instructies om de VMware Carbon Black-connector handmatig te implementeren met Azure Functions.
Een functie-app maken
Navigeer in de Azure Portal naar Functie-app en selecteer + Toevoegen.
Controleer op het tabblad Basisbeginselen of Runtime-stack is ingesteld op Powershell Core.
Controleer op het tabblad Hosting of het abonnementstype Verbruik (serverloos) is geselecteerd.
Breng indien nodig andere voorkeurswijzigingen in de configuratie aan en klik vervolgens op Maken.
Code voor functie-app importeren
Selecteer functies in het linkerdeelvenster in de zojuist gemaakte functie-app en klik op + Toevoegen.
Selecteer Timertrigger.
Voer een unieke functienaam in en wijzig indien nodig het cron-schema. De standaardwaarde is ingesteld om de functie-app elke 5 minuten uit te voeren. (Opmerking: de timertrigger moet overeenkomen met de
timeIntervalonderstaande waarde om overlappende gegevens te voorkomen). Klik op Maken.Klik op Code + Test in het linkerdeelvenster.
Kopieer de code van de functie-app en plak deze in de functie-app-editor
run.ps1.Klik op Opslaan.
De functie-app configureren
Selecteer in de functie-app de naam van de functie-app en selecteer Configuratie.
Selecteer op het tabblad Toepassingsinstellingen de optie + Nieuwe toepassingsinstelling.
Voeg elk van de volgende dertien tot zestien (13-16) toepassingsinstellingen afzonderlijk toe, met de bijbehorende tekenreekswaarden (hoofdlettergevoelig): apiId apiKey workspaceID WorkspaceKeyKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SieMapiId (Optioneel) SIEMapiKey (Optioneel) logAnalyticsUri (optioneel)
- Voer de URI in die overeenkomt met uw regio. De volledige lijst met API-URL's vindt u hier. De
uriwaarde moet het volgende schema volgen:https://<API URL>.conferdeploy.net- Het is niet nodig om een tijdachtervoegsel toe te voegen aan de URI. De functie-app voegt de tijdwaarde dynamisch toe aan de URI in de juiste indeling. - Stel de
timeInterval(in minuten) in op de standaardwaarde van5om overeen te komen met de standaard timertrigger van elke5minuten. Als het tijdsinterval moet worden gewijzigd, is het raadzaam om de timertrigger van de functie-app dienovereenkomstig te wijzigen om overlappende gegevensopname te voorkomen. - Carbon Black vereist een afzonderlijke set API-id's/sleutels om meldingen op te nemen. Voer de
SIEMapiIdwaarden enSIEMapiKeyin, indien nodig, of laat deze weg als dit niet nodig is. - Opmerking: Als u Azure Key Vault gebruikt, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault referentiedocumentatie voor meer informatie. - Gebruik logAnalyticsUri om het eindpunt van de Log Analytics-API voor de toegewezen cloud te overschrijven. Laat voor openbare cloud bijvoorbeeld de waarde leeg; geef voor Azure GovUS-cloudomgeving de waarde in de volgende indeling op:
https://<CustomerId>.ods.opinsights.azure.us
- Zodra alle toepassingsinstellingen zijn ingevoerd, klikt u op Opslaan.
Island Enterprise Browser Beheer Events (verouderd)
Ondersteund door:Island
Dit is een verouderde connector en wordt niet meer aanbevolen. Gebruik in plaats daarvan de Island Enterprise Browser V2 Data Connector , die gebruikers-, beheerders- en systeemgebeurtenissen binnen één connector ondersteunt.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Island_Admin_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Island-API-sleutel: er is een Island-API-sleutel vereist.
Installatie-instructies:
Island verbinden met Microsoft Sentinel
Dit is een verouderde connector. Raadpleeg de officiële islanddocumentatie voor volledige installatie-instructies (hiervoor is aanmelding bij de Island Management Console vereist).
Island Enterprise Browser User Events (verouderd)
Ondersteund door:Island
Dit is een verouderde connector en wordt niet meer aanbevolen. Gebruik in plaats daarvan de Island Enterprise Browser V2 Data Connector , die gebruikers-, beheerders- en systeemgebeurtenissen binnen één connector ondersteunt.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Island_User_CL |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Voorwaarden:
- Island-API-sleutel: er is een Island-API-sleutel vereist.
Installatie-instructies:
Island verbinden met Microsoft Sentinel
Dit is een verouderde connector. Raadpleeg de officiële islanddocumentatie voor volledige installatie-instructies (hiervoor is aanmelding bij de Island Management Console vereist).
Beveiligingsevenementen via verouderde agent
Ondersteund door:Microsoft Corporation
U kunt alle beveiligingsevenementen streamen vanaf de Windows-computers die zijn verbonden met uw Microsoft Sentinel werkruimte met behulp van de Windows-agent. Met deze verbinding kunt u dashboards weergeven, aangepaste waarschuwingen maken en onderzoek verbeteren. Dit geeft u meer inzicht in het netwerk van uw organisatie en verbetert uw beveiligingsmogelijkheden. Zie de documentatie voor Microsoft Sentinel voor meer informatie.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityEvent |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Abonnementsgebaseerde Microsoft Defender voor cloud (verouderd)
Ondersteund door:Microsoft Corporation
Microsoft Defender voor Cloud is een hulpprogramma voor beveiligingsbeheer waarmee u bedreigingen in Azure, hybride workloads en workloads met meerdere clouds kunt detecteren en hierop snel kunt reageren. Met deze connector kunt u uw beveiligingswaarschuwingen van Microsoft Defender voor Cloud streamen naar Microsoft Sentinel, zodat u Defender-gegevens in werkmappen kunt bekijken, er query's op kunt uitvoeren om waarschuwingen te genereren en incidenten kunt onderzoeken en erop kunt reageren.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
SecurityAlert |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Syslog via verouderde agent
Ondersteund door:Microsoft Corporation
Syslog is een protocol voor gebeurtenislogboekregistratie dat gebruikelijk is voor Linux. Toepassingen verzenden berichten die kunnen worden opgeslagen op de lokale computer of worden bezorgd bij een Syslog-collector. Wanneer de Agent voor Linux is geïnstalleerd, configureert deze de lokale Syslog-daemon om berichten door te sturen naar de agent. De agent verzendt het bericht vervolgens naar de werkruimte.
Log Analytics-tabel(en):
| Tabel | DCR-ondersteuning | Opname met alleen lake |
|---|---|---|
Syslog |
Ja | Ja |
Ondersteuning voor gegevensverzamelingsregel:Werkruimte transformeren DCR
Volgende stappen
Zie voor meer informatie: