Stöds av:1Password

Med 1Password CCF-anslutningsappen kan användaren mata in 1Password Audit, Signin & ItemUsage-händelser i Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• 1Password API-token: En 1Password API-token krävs. Se 1Password-dokumentationen om hur du skapar en API-token.

Installationsinstruktioner:

STEG 1 – Skapa en 1Password API-token:

Följ 1Password-dokumentationen för vägledning om det här steget.

STEG 2 – Välj rätt bas-URL:

Det finns flera 1Password-servrar som kan vara värdar för dina händelser. Rätt server beror på din licens och region. Följ 1Password-dokumentationen för att välja rätt server. Ange bas-URL:en enligt dokumentationen (inklusive "https://" och utan avslutande /).

STEG 3 – Ange 1Password-information:

Ange 1Password-bas-URL:en & API-token nedan:

• Bas-URL: (Ange din bas-URL)
• API-token: (Ange din API-token)
• Aktivera/inaktivera anslutning

Stöds av:1Password

Med 1Password-lösningen för Microsoft Sentinel kan du mata in inloggningsförsök, objektanvändning och granskningshändelser från ditt 1Password Business-konto med hjälp av API:et 1Password Events Reporting. På så sätt kan du övervaka och undersöka händelser i 1Password i Microsoft Sentinel tillsammans med andra program och tjänster som din organisation använder.

Underliggande Microsoft-tekniker som används:

Den här lösningen är beroende av följande tekniker, och vissa av dem kan vara i förhandsversionstillstånd eller kan medföra ytterligare inmatnings- eller driftskostnader:

• Azure Functions

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• API-token för 1Password-händelser: En API-token för 1Password-händelser krävs. Mer information finns i 1Password-API:et.

Observera: Ett 1Password Business-konto krävs

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till 1Password för att hämta loggar till Microsoft Sentinel. Detta kan resultera i ytterligare kostnader för datainmatning från Azure. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

STEG 1 – Konfigurationssteg för API:et 1Password Events Reporting

Följ de här anvisningarna i 1Password för att hämta en API-token för händelserapportering. Observera: Ett 1Password Business-konto krävs

STEG 2 – Distribuera functionApp med knappen DeployToAzure för att skapa tabellen, dcr och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar 1Password-anslutningsappen måste du skapa en anpassad tabell.

Alternativ 1 – Azure Resource Manager (ARM)-mall

Den här metoden tillhandahåller en automatiserad distribution av 1Password-anslutningsappen med hjälp av en ARM-tempate.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange arbetsytans namn, arbetsytans namn, API-nyckeln för 1Password-händelser och URI:n.

• Standardtidsintervallet är inställt på fem (5) minuter. Om du vill ändra intervallet kan du justera timerutlösaren för funktionsappen i enlighet med detta (i filen function.json, efter distributionen) för att förhindra överlappande datainmatning.
• Obs! Om du använder Azure Key Vault hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault referenser.

4. Markera kryssrutan med etiketten Jag godkänner de villkor som anges ovan.
5. Klicka på Köp för att distribuera.

Stöds av:Onormal säkerhet

Dataanslutningsappen Onormal säkerhet ger möjlighet att mata in hot- och ärendeloggar i Microsoft Sentinel med hjälp av rest-API:et för onormal säkerhet.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• Onormal API för säkerhet token: En onormal API för säkerhet token krävs. Mer information finns i Onormal API för säkerhet. Observera: Ett onormalt säkerhetskonto krävs

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till REST-API:et för onormal säkerhet för att hämta loggar till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

STEG 1 – Konfigurationssteg för onormala API för säkerhet

Följ de här anvisningarna i Onormal säkerhet för att konfigurera REST API-integreringen. Observera: Ett onormalt säkerhetskonto krävs

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar dataanslutningsappen Onormal säkerhet måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt den onormala API för säkerhet auktoriseringstoken, som är lätt tillgänglig.

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Den här metoden tillhandahåller en automatisk distribution av anslutningsappen onormal säkerhet med hjälp av en ARM-mall.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange Microsoft Sentinel arbetsyte-ID Microsoft Sentinel delad nyckel och REST API-nyckel för onormal säkerhet.

• Standardtidsintervallet är inställt på att hämta de senaste fem (5) minuterna av data. Om tidsintervallet måste ändras rekommenderar vi att du ändrar timerutlösaren för funktionsappen i enlighet med detta (i function.json-filen efter distributionen) för att förhindra överlappande datainmatning.

4. Markera kryssrutan med etiketten Jag godkänner de villkor som anges ovan.
5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera dataanslutningsappen Onormal säkerhet manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

OBSERVERA: Du måste förbereda VS-kod för Azure funktionsutveckling.

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj ikonen Azure i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Funktioner. Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Funktioner väljer du Logga in för att Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i prompterna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. AbnormalSecurityXX).

   e. Välj en körningsmiljö: Välj Python 3.8.

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

8. Konfigurera funktionsappen

9. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.

10. På fliken Programinställningar väljer du + Ny programinställning.

11. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (valfritt) (lägg till andra inställningar som krävs av funktionsappen uri ) Ange värdet till: <add uri value>

Obs! Om du använder Azure Key Vault hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Azure Key Vault referenser.

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format:https://<CustomerId>.ods.opinsights.azure.us.

4. När alla programinställningar har angetts klickar du på Spara.

Stöds av:Microsoft Corporation

Agent 365 dataanslutning ger bättre insikter om AI-agentaktivitet genom att ta med AI-agenttelemetri från Agent 365, AI Foundry och Copilot i Microsoft Sentinel datasjö för att undersöka agentbeteende, verktygsanvändning och körning med jakt-, graf- och MCP-arbetsflöden. Data från den här anslutningsappen används för att undersöka AI-agentens beteende, verktygsanvändning och körning i Microsoft Sentinel. Om du har aktiverat dessa arbetsflöden förhindrar inaktivering av den här anslutningsappen att dessa undersökningar utförs.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Installationsinstruktioner:

Stöds av:AIShield

MED AIShield-anslutningsappen kan användarna ansluta till AIShields anpassade skyddsmetodloggar med Microsoft Sentinel, vilket gör det möjligt att skapa dynamiska instrumentpaneler, arbetsböcker, notebook-filer och skräddarsydda aviseringar för att förbättra undersökningen och förhindra attacker på AI-system. Det ger användarna mer insikt i organisationens säkerhet för AI-tillgångar och förbättrar deras funktioner för säkerhetsåtgärd i AI-system. AIShield.GuArdIan analyserar det LLM-genererade innehållet för att identifiera och minimera skadligt innehåll, skydda mot juridiska, princip-, rollbaserade och användningsbaserade överträdelser

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Obs! Användare bör ha använt AIShield SaaS-erbjudandet för att utföra sårbarhetsanalys och distribuerade anpassade försvarsmekanismer som genererats tillsammans med deras AI-tillgång. Klicka här om du vill veta mer eller kontakta oss.

Installationsinstruktioner:

OBSERVERA: Den här dataanslutningen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat AIShield som distribueras med Microsoft Sentinel Solution.

VIKTIGT: Innan du distribuerar AIShield Connector måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Stöds av:Microsoft Corporation

Alibaba Cloud ActionTrail-dataanslutningen ger möjlighet att hämta actiontrail-händelser som lagras i Alibaba Cloud Simple Log Service och lagra dem i Microsoft Sentinel via SLS REST API. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Autentiseringsuppgifter/behörigheter för SLS REST API: AliCloudAccessKeyId och AliCloudAccessKeySecret krävs för att göra API-anrop. RAM-principuttryck med åtgärd av minst log:GetLogStoreLogs över resurs acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} krävs för att ge en RAM-användare behörighet att anropa den här åtgärden.

Installationsinstruktioner:

Konfigurera åtkomst till AliCloud SLS API

Innan du använder API:et måste du förbereda ditt identitetskonto och komma åt nyckelparet för att få en effektiv åtkomst till API:et.

1. Vi rekommenderar att du använder en RAM-användare (Resource Access Management) för att anropa API-åtgärder. Mer information finns i Skapa en RAM-användare och ge RAM-användaren behörighet att komma åt Simple Log Service.
2. Hämta åtkomstnyckelparet för RAM-användaren. Mer information finns i hämta Access Key-par.

Observera information om åtkomstnyckelparet för nästa steg.

Lägg till ActionTrail Logstore

Om du vill aktivera Alibaba Cloud ActionTrail-anslutningsappen för Microsoft Sentinel klickar du på Lägg till ActionTrail Logstore, fyller i formuläret med Alibaba Cloud-miljökonfigurationen och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Alibaba Cloud Networking-dataanslutningsappen ger möjlighet att mata in Alibaba Cloud-nätverksdata i Microsoft Sentinel via REST-API:et för Simple Log Service (SLS). Mer information finns i API-dokumentationen . Anslutningsappen ger möjlighet att hämta VPC-flödesloggar, WAF-loggar och API Gateway-loggar från Alibaba Cloud.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Alibaba Cloud SLS API-åtkomst: Åtkomst till Alibaba Cloud Simple Log Service krävs för SLS-API:et.

Installationsinstruktioner:

Konfigurera åtkomst till AliCloud SLS API

Innan du använder API:et måste du förbereda ditt identitetskonto och komma åt nyckelparet för att få en effektiv åtkomst till API:et.

1. Vi rekommenderar att du använder en RAM-användare (Resource Access Management) för att anropa API-åtgärder. Mer information finns i Skapa en RAM-användare och ge RAM-användaren behörighet att komma åt Simple Log Service.
2. Hämta åtkomstnyckelparet för RAM-användaren. Mer information finns i hämta Access Key-par.

Observera information om åtkomstnyckelparet för nästa steg.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

AliCloud-dataanslutningsappen ger möjlighet att hämta loggar från molnprogram med hjälp av moln-API:et och lagra händelser i Microsoft Sentinel via REST-API:et. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• REST API-autentiseringsuppgifter/behörigheter: AliCloudAccessKeyId och AliCloudAccessKey krävs för att göra API-anrop.

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Azure Blob Storage-API:et för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning och för lagring av data i Azure Blob Storage kostnader. Mer information finns på sidan med Azure Functions prissättning och Azure Blob Storage prissättning.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

OBSERVERA: Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat AliCloud som distribueras med Microsoft Sentinel-lösningen.

STEG 1 – Konfigurationssteg för AliCloud-API:et

Följ anvisningarna för att hämta autentiseringsuppgifterna.

1. Hämta AliCloudAccessKeyId och AliCloudAccessKey: logga in på kontot, klicka på AccessKey Management och klicka sedan på Visa hemlighet.
2. Spara autentiseringsuppgifter för att använda i dataanslutningsappen.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar AliCloud-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Använd den här metoden för automatisk distribution av AliCloud-dataanslutningsappen med hjälp av en ARM-mall.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

OBSERVERA: I samma resursgrupp kan du inte blanda Windows- och Linux-appar i samma region. Välj en befintlig resursgrupp utan Windows-appar i den eller skapa en ny resursgrupp. 3. Ange WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects och AppInsightsWorkspaceResourceID och distribuera. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera AliCloud-dataanslutningen manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

OBSERVERA: Du måste förbereda VS-kod för Azure funktionsutveckling.

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj ikonen Azure i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Funktioner. Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Funktioner väljer du Logga in för att Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i prompterna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. AliCloudXXXXX).

   e. Välj en körningsmiljö: Välj Python 3.11.

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

8. Konfigurera funktionsappen

9. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.

10. På fliken Programinställningar väljer du Ny programinställning.

11. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

4. När alla programinställningar har angetts klickar du på Spara.

Stöds av:Microsoft Corporation

Instruktioner för att ansluta till AWS och strömma dina CloudTrail-loggar till Microsoft Sentinel visas under installationsprocessen. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Stöds av:Microsoft Corporation

Med den här dataanslutningsappen kan du integrera AWS CloudFront-loggar med Microsoft Sentinel för att stödja avancerad hotidentifiering, undersökning och säkerhetsövervakning. Genom att använda Amazon S3 för logglagring och Amazon SQS för meddelandeköer matar anslutningsappen in CloudFront-åtkomstloggar i Microsoft Sentinel

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

Mata in AWS CloudFront-loggar i Microsoft Sentinel

Lista över resurser som krävs:

• Webbidentitetsprovider för Open ID Connect (OIDC)
• IAM-roll
• Amazon S3 Bucket
• Amazon SQS
• AWS CloudFront-konfiguration

1. AWS CloudFormation Distribution För att konfigurera åtkomst på AWS har två mallar genererats för att konfigurera AWS-miljön för att skicka loggar från en S3-bucket till Log Analytics-arbetsytan.

För varje mall skapar du Stack i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Välj alternativet Ange mall och sedan Ladda upp en mallfil genom att klicka på Välj fil och välja lämplig CloudFormation-mallfil som anges nedan. klicka på Välj fil och välj den nedladdade mallen.
3. Klicka på Nästa och Skapa stack.

• Mall 1: Distribution av OpenID Connect-autentisering: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWSCloudFront-resurser: <variabelvärde som anges vid installationen>

2. Anslut nya insamlare Om du vill aktivera AWS S3 för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Med AWS-anslutningsappen för elastisk belastningsutjämning (ELB) för Microsoft Sentinel kan du mata in åtkomstloggar och flödesloggar från AWS Application Load Balancers (ALB), NLB (Network Load Balancers) och Gateway Load Balancers (GLB) till Microsoft Sentinel. Dessa loggar innehåller detaljerad information om begäranden som bearbetas av dina lastbalanserare och VPC-trafikflöden, vilket möjliggör säkerhetsövervakning, hotidentifiering och trafikanalys.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• AWS IAM-roll-ARN och SQS-kö: En AWS IAM-roll-ARN med åtkomst mellan konton och en SQS-kö-URL som konfigurerats för S3-händelseaviseringar krävs. Installationsanvisningar finns i dokumentationen för AWS ELB-anslutningsappen .

Installationsinstruktioner:

1. AWS CloudFormation-distribution Om du vill konfigurera åtkomst på AWS använder du CloudFormation-mallar för att konfigurera miljön för att skicka loggar från ALB, NLB och GLB till Din Log Analytics-arbetsyta.

Distributionssteg:

1. Gå till Mallar för molnbildning och ladda ned JSON-mallfilerna.
2. Gå till AWS CloudFormation Stacks.
3. Distribuera först OIDCWebIdProvider.json-mallen (hoppa över om du redan har en OIDC-provider för Microsoft Sentinel).
4. Distribuera sedan mallen AWSS3ELB.json med dina parametrar.
5. Anteckna följande värden från stackens utdata:
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

Konfiguration efter distribution:

När CloudFormation-stacken har distribuerats:

• Gå till fliken Resurser i stacken.
• Leta upp det skapade S3-bucketnamnet.
• Skapa följande mappar manuellt i S3-bucketen:
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

Skickar loggar:

När mappen har skapats konfigurerar du dina AWS-tjänster för att skicka loggar till lämpliga mappar:

• ALB-åtkomstloggar –>ALBLogs/
• NLB-åtkomstloggar –>NLBAccessLogs/
• NLB-flödesloggar –>NLBFlowLogs/
• GLB-flödesloggar –>GLBFlowLogs/

Dessa loggar matas in i motsvarande tabeller på Log Analytics-arbetsytan.

Tabellmappning:

• ALB-åtkomstloggar –>AWSALBAccessLogsData
• NLB-åtkomstloggar –>AWSNLBAccessLogsData
• NLB- och GLB-flödesloggar –>AWSELBFlowLogsData

Observera: I tabellen AWSELBFlowLogsData anger en kolumn med namnet LogType om en rad kommer från NLB-flödesloggar eller GLB-flödesloggar.

2. Anslut nya insamlare Om du vill aktivera anslutningsappen klickar du på Lägg till ny insamlare, anger nödvändig information och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Med den här dataanslutningsappen kan du mata in loggar för AWS-nätverksbrandväggen i Microsoft Sentinel för avancerad hotidentifiering och säkerhetsövervakning. Genom att använda Amazon S3 och Amazon SQS vidarebefordrar anslutningsappen nätverkstrafikloggar, aviseringar om intrångsidentifiering och brandväggshändelser till Microsoft Sentinel, vilket möjliggör realtidsanalys och korrelation med andra säkerhetsdata

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

Mata in AWS NetworkFirewall-loggar i Microsoft Sentinel

Lista över resurser som krävs:

• Webbidentitetsprovider för Open ID Connect (OIDC)
• IAM-roll
• Amazon S3 Bucket
• Amazon SQS
• AWSNetworkFirewall-konfiguration
• Följ de här anvisningarna för konfiguration av AWS NetworkFirewall Data Connector

1. AWS CloudFormation Distribution För att konfigurera åtkomst på AWS har två mallar genererats för att konfigurera AWS-miljön för att skicka loggar från en S3-bucket till Log Analytics-arbetsytan.

För varje mall skapar du Stack i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Välj alternativet Ange mall och sedan Ladda upp en mallfil genom att klicka på Välj fil och välja lämplig CloudFormation-mallfil som anges nedan. klicka på Välj fil och välj den nedladdade mallen.
3. Klicka på Nästa och Skapa stack.

• Mall 1: Distribution av OpenID Connect-autentisering: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWSNetworkFirewall-resurser: <variabelvärde som angavs vid installationen>

2. Anslut nya insamlare Om du vill aktivera AWS S3 för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Med den här anslutningsappen kan du mata in AWS-tjänstloggar som samlats in i AWS S3-bucketar för att Microsoft Sentinel. De datatyper som stöds för närvarande är:

• AWS CloudTrail
• VPC-flödesloggar
• AWS GuardDuty
• AWSCloudWatch

Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: S3, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper samt de AWS-tjänster vars loggar du vill samla in.

Installationsinstruktioner:

1. Konfigurera AWS-miljön

Det finns två alternativ för att konfigurera AWS-miljön för att skicka loggar från en S3-bucket till Log Analytics-arbetsytan:

Konfigurera med PowerShell-skript (rekommenderas)

• Kör skriptet för att konfigurera miljön: <variabelvärde som anges vid installationen>
• External ID (arbetsyte-ID): <variabelvärde som anges vid installationen>

Manuell installation

Följ anvisningarna i följande länk för att konfigurera miljön: Anslut AWS S3 till Microsoft Sentinel

2. Lägg till anslutning

Stöds av:Microsoft Corporation

Den här anslutningsappen möjliggör inmatning av AWS Route 53 DNS-loggar till Microsoft Sentinel för bättre synlighet och hotidentifiering. Den stöder DNS Resolver-frågeloggar som matas in direkt från AWS S3-bucketar, medan offentliga DNS-frågeloggar och Route 53-granskningsloggar kan matas in med hjälp av Microsoft Sentinel AWS CloudWatch- och CloudTrail-anslutningsappar. Omfattande instruktioner tillhandahålls som vägleder dig genom konfigurationen av varje loggtyp. Använd den här anslutningsappen för att övervaka DNS-aktivitet, identifiera potentiella hot och förbättra din säkerhetsstatus i molnmiljöer.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

AWS Route53

Den här anslutningsappen möjliggör inmatning av AWS Route 53 DNS-loggar till Microsoft Sentinel, vilket ger bättre insyn i DNS-aktiviteten och stärker funktionerna för hotidentifiering. Den stöder direkt inmatning av DNS Resolver-frågeloggar från AWS S3-bucketar, medan offentliga DNS-frågeloggar och Route 53-granskningsloggar kan matas in via Microsoft Sentinel AWS CloudWatch- och CloudTrail-anslutningsappar. Detaljerade installationsinstruktioner finns för varje loggtyp. Använd den här anslutningsappen för att övervaka DNS-trafik, identifiera potentiella hot och förbättra din molnsäkerhetsstatus.

Du kan mata in följande typ av loggar från AWS Route 53 till Microsoft Sentinel:

1. Route 53 Resolver-frågeloggar
2. Routning 53 offentliga värdbaserade zoner frågeloggar (via Microsoft Sentinel CloudWatch-anslutningsprogram)
3. Route 53-granskningsloggar (via Microsoft Sentinel CloudTrail-anslutningsprogram)

Mata in Route53 Resolver-frågeloggar i Microsoft Sentinel

Lista över resurser som krävs:

• Webbidentitetsprovider för Open ID Connect (OIDC)
• IAM-roll
• Amazon S3 Bucket
• Amazon SQS
• Route 53 Resolver-frågeloggningskonfiguration
• VPC som ska associeras med frågeloggkonfigurationen för Route53 Resolver

1. AWS CloudFormation Distribution För att konfigurera åtkomst på AWS har två mallar genererats för att konfigurera AWS-miljön för att skicka loggar från en S3-bucket till Log Analytics-arbetsytan.

För varje mall skapar du Stack i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Välj alternativet Ange mall och sedan Ladda upp en mallfil genom att klicka på Välj fil och välja lämplig CloudFormation-mallfil som anges nedan. klicka på Välj fil och välj den nedladdade mallen.
3. Klicka på Nästa och Skapa stack.

• Mall 1: Distribution av OpenID Connect-autentisering: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWS Route53-resurser: <variabelvärde som angavs vid installationen>

2. Anslut nya insamlare Om du vill aktivera Amazon Web Services S3 DNS Route53 för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Mata in frågeloggar för routning 53 offentliga värdbaserade zoner (via Microsoft Sentinel CloudWatch-anslutningsprogram)

Frågeloggar för offentlig värdbaserad zon exporteras till CloudWatch-tjänsten i AWS. Vi kan använda anslutningsprogrammet "Amazon Web Services S3" för att mata in CloudWatch-loggar från AWS till Microsoft Sentinel.

Steg 1: Konfigurera loggning för offentliga DNS-frågor

1. Logga in på AWS-hanteringskonsolen och öppna Route 53-konsolen på AWS Route 53.
2. Gå till Routning 53-värdbaserade > zoner.
3. Välj den offentliga värdbaserade zon som du vill konfigurera frågeloggning för.
4. I informationsfönstret värdbaserad zon klickar du på "Konfigurera frågeloggning".
5. Välj en befintlig logggrupp eller skapa en ny logggrupp.
6. Välj Skapa.

Steg 2: Konfigurera Amazon Web Services S3-dataanslutning för AWS CloudWatch

AWS CloudWatch-loggar kan exporteras till en S3-bucket med hjälp av lambda-funktionen. Om du vill mata in offentliga DNS-frågor från AWS CloudWatch till S3 bucket och sedan till Microsoft Sentinel följer du anvisningarna i Amazon Web Services S3-anslutningsappen.

Mata in Route 53-granskningsloggar (via Microsoft Sentinel CloudTrail-anslutningsprogram)

Route 53-granskningsloggar, d.v.s. loggar relaterade till åtgärder som vidtas av användare, roll eller AWS-tjänst i Route 53 kan exporteras till en S3-bucket via AWS CloudTrail-tjänsten. Vi kan använda anslutningsprogrammet "Amazon Web Services S3" för att mata in CloudTrail-loggar från AWS till Microsoft Sentinel.

Steg 1: Konfigurera loggning för AWS Route 53-granskningsloggar

1. Logga in på AWS-hanteringskonsolen och öppna CloudTrail-konsolen på AWS CloudTrail
2. Om du inte har någon befintlig spår klickar du på Skapa spår
3. Ange ett namn för din trail i fältet Trail name (Spårnamn).
4. Välj Skapa ny S3-bucket (du kan också välja att använda en befintlig S3-bucket).
5. Lämna de andra inställningarna som standard och klicka på Nästa.
6. Välj Händelsetyp och kontrollera att Hanteringshändelser har valts.
7. Välj API-aktivitet, "Läsa" och "Skriva"
8. Klicka på Nästa.
9. Granska inställningarna och klicka på Skapa spår.

Steg 2: Konfigurera Amazon Web Services S3-dataanslutning för AWS CloudTrail

Om du vill mata in gransknings- och hanteringsloggar från AWS CloudTrail till Microsoft Sentinel följer du anvisningarna i Amazon Web Services S3-anslutningsappen

Stöds av:Microsoft Corporation

Med den här anslutningsappen kan du mata in AWS WAF-loggar som samlats in i AWS S3-bucketar för att Microsoft Sentinel. AWS WAF-loggar är detaljerade register över trafik som ACL:er (web access control lists) analyserar, vilket är viktigt för att upprätthålla säkerheten och prestandan för webbprogram. Dessa loggar innehåller information, till exempel när AWS WAF tog emot begäran, detaljerna för begäran och den åtgärd som vidtagits av regeln som begäran matchade.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

1. AWS CloudFormation Distribution För att konfigurera åtkomst på AWS har två mallar genererats för att konfigurera AWS-miljön för att skicka loggar från en S3-bucket till Log Analytics-arbetsytan.

För varje mall skapar du Stack i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Välj alternativet Ange mall och sedan Ladda upp en mallfil genom att klicka på Välj fil och välja lämplig CloudFormation-mallfil som anges nedan. klicka på Välj fil och välj den nedladdade mallen.
3. Klicka på Nästa och Skapa stack.

• Mall 1: Distribution av OpenID Connect-autentisering: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWS WAF-resurser: <variabelvärde som anges vid installationen>

2. Anslut nya insamlare Om du vill aktivera AWS S3 för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Anvilogic

Med anvilogic-dataanslutningsappen kan du hämta händelser av intresse som genererats i Anvilogic ADX-klustret till din Microsoft Sentinel

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Anvilogic Application Registration Client ID och Client Secret: För att få åtkomst till Anvilogic ADX behöver vi klient-ID och klienthemlighet från anvilogic-appregistreringen

Installationsinstruktioner:

Anslut till Anvilogic för att börja samla in intressanta händelser i Microsoft Sentinel

Fyll i formuläret för att mata in anvilogic-aviseringar i din Microsoft Sentinel

• Tokenslutpunkt: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Anvilogic ADX-omfång: (<avl_adx_uri>/.default)
• URI för anvilogic ADX-begäran: (<avl_adx_uri>/v2/rest/query)

Stöds av:ARGOS Cloud Security

Med ARGOS Cloud Security-integreringen för Microsoft Sentinel kan du ha alla dina viktiga molnsäkerhetshändelser på ett och samma ställe. På så sätt kan du enkelt skapa instrumentpaneler, aviseringar och korrelera händelser i flera system. Sammantaget förbättrar detta organisationens säkerhetsstatus och svar på säkerhetsincidenter.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Installationsinstruktioner:

1. Prenumerera på ARGOS

Se till att du redan äger en ARGOS-prenumeration. Om inte bläddrar du till ARGOS Cloud Security och registrerar dig för ARGOS.

Du kan också köpa ARGOS via Azure Marketplace.

2. Konfigurera Sentinel integrering från ARGOS

Konfigurera ARGOS för att vidarebefordra alla nya identifieringar till din Sentinel arbetsyta genom att tillhandahålla ARGOS med ditt arbetsyte-ID och primärnyckel.

Du behöver inte distribuera någon anpassad infrastruktur.

Ange informationen på konfigurationssidan för ARGOS Sentinel.

Nya identifieringar vidarebefordras automatiskt.

Läs mer om integreringen

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Stöds av:Armis Corporation

Armis Alerts Activities-anslutningsappen ger möjlighet att mata in Armis-aviseringar och -aktiviteter i Microsoft Sentinel via Armis REST API. Mer information finns i API-dokumentationen https://<YourArmisInstance>.armis.com/api/v1/docs . Anslutningsappen ger möjlighet att få information om aviseringar och aktiviteter från Armis-plattformen och att identifiera och prioritera hot i din miljö. Armis använder din befintliga infrastruktur för att identifiera och identifiera enheter utan att behöva distribuera några agenter.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• REST API-autentiseringsuppgifter/behörigheter: Armis Secret Key krävs. Läs dokumentationen om du vill veta mer om API:et på https://<YourArmisInstance>.armis.com/api/v1/doc

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Armis-API:et för att hämta loggarna till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

OBSERVERA: Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel Loggar, klickar på Funktioner och söker efter aliaset ArmisActivities/ArmisAlerts och läser in funktionskoden. Funktionen tar vanligtvis 10–15 minuter att aktivera efter lösningens installation/uppdatering.

STEG 1 – Konfigurationssteg för Armis-API:et

Följ de här anvisningarna för att skapa en hemlig Nyckel för Armis API.

1. Logga in på armis-instansen
2. Gå till Inställningar –> API Management
3. Om den hemliga nyckeln inte redan har skapats trycker du på knappen Skapa för att skapa den hemliga nyckeln
4. Om du vill komma åt den hemliga nyckeln trycker du på knappen Visa
5. Den hemliga nyckeln kan nu kopieras och användas under konfigurationen av armis-aviseringsaktiviteter

STEG 2 – Steg för appregistrering för programmet i Microsoft Entra ID

Den här integreringen kräver en appregistrering i Azure Portal. Följ stegen i det här avsnittet för att skapa ett nytt program i Microsoft Entra ID:

1. Logga in på Azure-portalen.
2. Sök efter och välj Microsoft Entra ID.
3. Under Hantera väljer du Appregistreringar > Ny registrering.
4. Ange ett visningsnamn för ditt program.
5. Välj Registrera för att slutföra den första appregistreringen.
6. När registreringen är klar visar Azure Portal appregistreringens översiktsfönster. Du ser program-ID:t (klient)-ID:t och klientorganisations-ID:t. Klient-ID och klientorganisations-ID krävs som konfigurationsparametrar för körning av Armis Alerts Activities Data Connector.

Referenslänk:/azure/active-directory/develop/quickstart-register-app

STEG 3 – Lägga till en klienthemlighet för programmet i Microsoft Entra ID

Ibland kallas ett programlösenord, en klienthemlighet är ett strängvärde som krävs för körning av Armis Alerts Activities Data Connector. Följ stegen i det här avsnittet för att skapa en ny klienthemlighet:

1. I Azure Portal går du till Appregistreringar och väljer ditt program.
2. Välj Certifikat & hemligheter > Klienthemligheter > Ny klienthemlighet.
3. Lägg till en beskrivning av klienthemligheten.
4. Välj en förfallotid för hemligheten eller ange en anpassad livslängd. Gränsen är 24 månader.
5. Välj Lägg till.
6. Registrera hemlighetens värde för användning i klientprogramkoden. Det här hemliga värdet visas aldrig igen när du har lämnat den här sidan. Det hemliga värdet krävs som konfigurationsparameter för körning av Armis Alerts Activities Data Connector.

Referenslänk:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

STEG 4 – Tilldela rollen Deltagare till program i Microsoft Entra ID

Följ stegen i det här avsnittet för att tilldela rollen:

1. I Azure Portal går du till Resursgrupp och väljer din resursgrupp.
2. Gå till Åtkomstkontroll (IAM) från den vänstra panelen.
3. Klicka på Lägg till och välj sedan Lägg till rolltilldelning.
4. Välj Deltagare som roll och klicka på nästa.
5. I Tilldela åtkomst till väljer du User, group, or service principal.
6. Klicka på Lägg till medlemmar och skriv ditt appnamn som du har skapat och välj det.
7. Klicka nu på Granska + tilldela och klicka sedan på Granska + tilldela igen.

Referenslänk:/azure/role-based-access-control/role-assignments-portal

STEG 5 – Skapa en nyckelvalv

Följ de här anvisningarna för att skapa en ny nyckelvalv.

1. I Azure Portal går du till Nyckelvalv. Klicka på Skapa.
2. Välj Subsciption, Resource Group (Resursgrupp) och ange det unika namnet på keyvault.

Obs! Skapa ett separat nyckelvalv för varje API-nyckel i en arbetsyta.

STEG 6 – Skapa en åtkomstprincip i Keyvault

Följ de här anvisningarna för att skapa en åtkomstprincip i Keyvault.

1. Gå till nyckelvalv, välj ditt nyckelvalv, gå till Åtkomstprinciper på den vänstra panelen. Klicka på Skapa.
2. Välj alla nycklar & behörigheter för hemligheter. Klicka på Nästa.
3. I huvudavsnittet söker du efter programnamn som genererades i STEG - 2. Klicka på Nästa.

Obs! Se till att behörighetsmodellen i åtkomstkonfigurationen för Key Vault är inställd på "Åtkomstprincip för valv"

STEG 7 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar dataanslutningsappen För Armis-aviseringsaktiviteter måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) tillgängliga.., samt Armis API-auktoriseringsnycklarna

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Använd den här metoden för automatisk distribution av Armis-anslutningsappen.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange följande information: Funktionsnamn Arbetsytans ID-arbetsytenyckel Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis-aviseringstabellnamn
   Allvarlighetsgrad för Armis-aktivitetstabellnamn (standard: Lågt) Armis-schema för KeyVault-namn Azure klient-ID Azure klienthemlighetsklient-ID

4. Markera kryssrutan med etiketten Jag godkänner de villkor som anges ovan.

5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera dataanslutningsappen Armis Alerts Activities manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

OBSERVERA: Du måste förbereda VS-kod för Azure funktionsutveckling.

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj ikonen Azure i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Funktioner. Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Funktioner väljer du Logga in för att Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i prompterna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. ARMISXXXXX).

   e. Välj en körningsmiljö: Välj Python 3.11

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

8. Konfigurera funktionsappen

9. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.

10. På fliken Programinställningar väljer du + Ny programinställning.

11. Lägg till var och en av följande programinställningar individuellt med sina respektive värden (skiftlägeskänsliga): Armis-aviseringstabellnamn armis-aktivitetstabellnamn för armis-aktivitetstabellens allvarlighetsgrad https://< (standard: Låg) Armis armis.com/api/v1/ Schema keyVault-namn> Azure klient-ID Azure klienthemlig klientorganisations-ID logAnalyticsUri (valfritt)

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

4. När alla programinställningar har angetts klickar du på Spara.

Stöds av:Armis Corporation

Armis-enhetsanslutningen ger möjlighet att mata in Armis-enheter i Microsoft Sentinel via Armis REST API. Mer information finns i API-dokumentationen https://<YourArmisInstance>.armis.com/api/v1/docs . Anslutningsappen ger möjlighet att hämta enhetsinformation från Armis-plattformen. Armis använder din befintliga infrastruktur för att identifiera och identifiera enheter utan att behöva distribuera några agenter. Armis kan också integreras med dina befintliga IT-& säkerhetshanteringsverktyg för att identifiera och klassificera varje enhet, hanterad eller ohanterad i din miljö.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• REST API-autentiseringsuppgifter/behörigheter: Armis Secret Key krävs. Läs dokumentationen om du vill veta mer om API:et på https://<YourArmisInstance>.armis.com/api/v1/doc

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Armis-API:et för att hämta loggarna till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

Obs! Den här dataanslutningen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ de här stegen för att skapa Kusto-funktionsaliaset ArmisDevice

STEG 1 – Konfigurationssteg för Armis-API:et

Följ de här anvisningarna för att skapa en hemlig Nyckel för Armis API.

1. Logga in på armis-instansen
2. Gå till Inställningar –> API Management
3. Om den hemliga nyckeln inte redan har skapats trycker du på knappen Skapa för att skapa den hemliga nyckeln
4. Om du vill komma åt den hemliga nyckeln trycker du på knappen Visa
5. Den hemliga nyckeln kan nu kopieras och användas under konfigurationen av Armis-enhetsanslutningen

STEG 2 – Steg för appregistrering för programmet i Microsoft Entra ID

Den här integreringen kräver en appregistrering i Azure Portal. Följ stegen i det här avsnittet för att skapa ett nytt program i Microsoft Entra ID:

1. Logga in på Azure-portalen.
2. Sök efter och välj Microsoft Entra ID.
3. Under Hantera väljer du Appregistreringar > Ny registrering.
4. Ange ett visningsnamn för ditt program.
5. Välj Registrera för att slutföra den första appregistreringen.
6. När registreringen är klar visar Azure Portal appregistreringens översiktsfönster. Du ser program-ID:t (klient)-ID:t och klientorganisations-ID:t. Klient-ID och klient-ID krävs som konfigurationsparametrar för körning av Armis Device Data Connector.

Referenslänk:/azure/active-directory/develop/quickstart-register-app

STEG 3 – Lägga till en klienthemlighet för programmet i Microsoft Entra ID

Ibland kallas ett programlösenord, en klienthemlighet är ett strängvärde som krävs för körning av Armis Device Data Connector. Följ stegen i det här avsnittet för att skapa en ny klienthemlighet:

1. I Azure Portal går du till Appregistreringar och väljer ditt program.
2. Välj Certifikat & hemligheter > Klienthemligheter > Ny klienthemlighet.
3. Lägg till en beskrivning av klienthemligheten.
4. Välj en förfallotid för hemligheten eller ange en anpassad livslängd. Gränsen är 24 månader.
5. Välj Lägg till.
6. Registrera hemlighetens värde för användning i klientprogramkoden. Det här hemliga värdet visas aldrig igen när du har lämnat den här sidan. Det hemliga värdet krävs som konfigurationsparameter för körning av Armis Device Data Connector.

Referenslänk:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

STEG 4 – Tilldela rollen Deltagare till program i Microsoft Entra ID

Följ stegen i det här avsnittet för att tilldela rollen:

1. I Azure Portal går du till Resursgrupp och väljer din resursgrupp.
2. Gå till Åtkomstkontroll (IAM) från den vänstra panelen.
3. Klicka på Lägg till och välj sedan Lägg till rolltilldelning.
4. Välj Deltagare som roll och klicka på nästa.
5. I Tilldela åtkomst till väljer du User, group, or service principal.
6. Klicka på Lägg till medlemmar och skriv ditt appnamn som du har skapat och välj det.
7. Klicka nu på Granska + tilldela och klicka sedan på Granska + tilldela igen.

Referenslänk:/azure/role-based-access-control/role-assignments-portal

STEG 5 – Skapa en nyckelvalv

Följ de här anvisningarna för att skapa en ny nyckelvalv.

1. I Azure Portal går du till Nyckelvalv. Klicka på Skapa.
2. Välj Subsciption, Resource Group (Resursgrupp) och ange det unika namnet på keyvault.

Obs! Skapa ett separat nyckelvalv för varje API-nyckel i en arbetsyta.

STEG 6 – Skapa en åtkomstprincip i Keyvault

Följ de här anvisningarna för att skapa en åtkomstprincip i Keyvault.

1. Gå till nyckelvalv, välj ditt nyckelvalv, gå till Åtkomstprinciper på den vänstra panelen. Klicka på Skapa.
2. Välj alla nycklar & behörigheter för hemligheter. Klicka på Nästa.
3. I huvudavsnittet söker du efter programnamn som genererades i STEG - 2. Klicka på Nästa.

Obs! Se till att behörighetsmodellen i åtkomstkonfigurationen för Key Vault är inställd på "Åtkomstprincip för valv"

STEG 7 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar armis-enhetsdataanslutningen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande) tillgängliga.., samt Armis API-auktoriseringsnycklarna

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Använd den här metoden för automatisk distribution av Armis-anslutningsappen.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange informationen nedan: Funktionsnamn Arbetsyte-ID Armis-url för nyckel för hemlig nyckel för arbetsytan (https://< armis-instance.armis.com/api/v1/>) Armis-enhetstabellnamn Armis Schemalägg KeyVault-namn Azure klient-ID Azure klienthemlighetsklient-ID

4. Markera kryssrutan med etiketten Jag godkänner de villkor som anges ovan.

5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera Armis Device Data Connector manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

OBSERVERA: Du måste förbereda VS-kod för Azure funktionsutveckling.

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj ikonen Azure i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Funktioner. Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Funktioner väljer du Logga in för att Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i prompterna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. ARMISXXXXX).

   e. Välj en körningsmiljö: Välj Python 3.11

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

8. Konfigurera funktionsappen

9. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.

10. På fliken Programinställningar väljer du + Ny programinställning.

11. Lägg till var och en av följande programinställningar individuellt med sina respektive värden (skiftlägeskänsliga): Armis-url för arbetsyte-arbetsytans nyckel armis-hemlighetsnyckel (https://< armis-instance.armis.com/api/v1/>) Armis-enhetstabellnamn Armis Schemalägg keyVault-namn Azure klient-ID Azure klienthemlig klientorganisations-ID logAnalyticsUri (valfritt)

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

4. När alla programinställningar har angetts klickar du på Spara.

Stöds av:DEFEND Ltd.

Atlassian Beacon är en molnprodukt som är byggd för intelligent hotidentifiering på Atlassian-plattformarna (Jira, Confluence och Atlassian Admin). Detta kan hjälpa användare att identifiera, undersöka och reagera på riskfylld användaraktivitet för Atlassian-produktsviten. Lösningen är en anpassad dataanslutning från DEFEND Ltd. som används för att visualisera aviseringarna som matas in från Atlassian Beacon för att Microsoft Sentinel via en logikapp.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Installationsinstruktioner:

1. Microsoft Sentinel

1. Gå till den nyligen installerade logikappen "Atlassian Beacon-integrering"

2. Gå till Logikappdesignern

3. Expandera "När en HTTP-begäran tas emot"

4. Kopiera HTTP POST-URL:en

2. Atlassian Beacon

1. Logga in på Atlassian Beacon med ett administratörskonto

2. Gå till SIEM-vidarebefordring under INSTÄLLNINGAR

3. Klistra in den kopierade URL:en från logikappen i textrutan

4. Klicka på knappen Spara

3. Testning och validering

1. Logga in på Atlassian Beacon med ett administratörskonto

2. Gå till SIEM-vidarebefordring under INSTÄLLNINGAR

3. Klicka på knappen Test bredvid den nyligen konfigurerade webhooken

4. Gå till Microsoft Sentinel

5. Gå till den nyligen installerade logikappen

6. Sök efter logikappkörningen under "Körningshistorik"

7. Sök efter loggar under tabellnamnet "atlassian_beacon_alerts_CL" i "Loggar"

8. Om analysregeln har aktiverats bör ovanstående testavisering ha skapat en incident i Microsoft Sentinel

Stöds av:Microsoft Corporation

Atlassian Confluence Audit-dataanslutningsappen ger möjlighet att mata in confluence Audit Records-händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Atlassian Confluence API-åtkomst: Behörighet för Administrering av confluence krävs för att få åtkomst till API:et för Confluence-granskningsloggar. Mer information om gransknings-API:et finns i Confluence API-dokumentationen .

Installationsinstruktioner:

Anslut till Atlassian Confluence API för att börja samla in granskningsloggar i Microsoft Sentinel

Om du vill aktivera Atlassian Confluence-anslutningsappen för Microsoft Sentinel klickar du för att lägga till en organisation, fyller i formuläret med autentiseringsuppgifterna för Confluence-miljön och klickar på Anslut. Följ dessa steg för att skapa en API-token.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Atlassian Jira Audit-dataanslutningsappen ger möjlighet att mata in Jira Audit Records-händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• REST API-autentiseringsuppgifter/behörigheter: JiraAccessToken, JiraUsername krävs för REST API. Mer information finns i API. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Jira REST API för att hämta loggarna till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

Obs! Den här dataanslutningen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Följ de här stegen för att skapa Kusto-funktionsaliaset JiraAudit

STEG 1 – Konfigurationssteg för Jira-API:et

Följ anvisningarna för att hämta autentiseringsuppgifterna.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar dataanslutningsappen för arbetsytan måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Använd den här metoden för automatisk distribution av Jira Audit-dataanslutningsappen med hjälp av en ARM-tempate.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

OBSERVERA: I samma resursgrupp kan du inte blanda Windows- och Linux-appar i samma region. Välj en befintlig resursgrupp utan Windows-appar i den eller skapa en ny resursgrupp. 3. Ange JiraAccessToken, JiraUsername, JiraHomeSiteName (kort platsnamndel, som exempel HOMESITENAME från https://community.atlassian.com) och distribuera. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera Jira Audit-dataanslutningen manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

OBSERVERA: Du måste förbereda VS-kod för Azure funktionsutveckling.

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj ikonen Azure i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Funktioner. Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Funktioner väljer du Logga in för att Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i prompterna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. JiraAuditXXXXX).

   e. Välj en körningsmiljö: Välj Python 3.11.

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

8. Konfigurera funktionsappen

9. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.

10. På fliken Programinställningar väljer du Ny programinställning.

11. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (valfritt)

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

3. När alla programinställningar har angetts klickar du på Spara.

Stöds av:Microsoft Corporation

Atlassian Jira Audit-dataanslutningsappen ger möjlighet att mata in Jira Audit Records-händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Atlassian Jira API-åtkomst: Behörighet för Administrera Jira krävs för att få åtkomst till API:et för Jira-granskningsloggar. Mer information om gransknings-API:et finns i Jira API-dokumentationen .

Installationsinstruktioner:

Om du vill aktivera Atlassian Jira-anslutningsappen för Microsoft Sentinel klickar du för att lägga till en organisation, fyller i formuläret med autentiseringsuppgifterna för Jira-miljön och klickar på Anslut. Följ dessa steg för att skapa en API-token.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Med Auth0-dataanslutningsappen kan du mata in loggar från Auth0 API till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework. Den använder Auth0 API för att hämta loggar och stöder DCR-baserade omvandlingar av inmatningstid som parsar mottagna säkerhetsdata i en anpassad tabell så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

STEG 1 – Konfigurationssteg för API:et för Auth0 Management

Följ anvisningarna för att hämta autentiseringsuppgifterna.

1. I Auth0-instrumentpanelen går du till [Program>]
2. Välj ditt program. Detta bör vara ett [dator-till-dator]-program som konfigurerats med minst behörigheterna [read:logs] och [read:logs_users].
3. Kopiera [Domän, ClientID, Klienthemlighet]

• URL för bas-API: (https://example.auth0.com)
• Klient-ID: (klient-ID)
• Klienthemlighet: (API-token)
• Aktivera/inaktivera anslutning

Stöds av:Microsoft Corporation

Du kan strömma granskningsloggarna från WebCTRL SQL-servern som finns på Windows-datorer som är anslutna till din Microsoft Sentinel. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger insikter om dina industriella kontrollsystem som övervakas eller styrs av WebCTRL BAS-programmet.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

1. Installera och registrera Microsoft-agenten för Windows.

Läs mer om registrering av agentinstallationer och Windows-händelser.

Du kan hoppa över det här steget om du redan har installerat Microsoft-agenten för Windows

2. Konfigurera Windows-uppgift för att läsa granskningsdata och skriva dem till Windows-händelser

Installera och konfigurera den schemalagda Windows-aktiviteten för att läsa granskningsloggarna i SQL och skriva dem som Windows-händelser. Dessa Windows-händelser samlas in av agenten och vidarebefordras till Microsoft Sentinel.

Observera att data från alla datorer lagras på den valda arbetsytan

2.1 Kopiera installationsfilerna till en plats på servern.

2.2 Uppdatera skriptparametrarna förALC-WebCTRL-AuditPull.ps1 (kopieras i ovanstående steg), till exempel måldatabasens namn och windows-händelse-ID:t. Mer information finns i kommentarer i skriptet.

2.3 Uppdatera inställningarna för Windows-uppgifter i ALC-WebCTRL-AuditPullTaskConfig.xml fil som kopierades i ovanstående steg enligt behov. Mer information finns i kommentarer i filen.

2.4 Installera Windows-uppgifter med de uppdaterade konfigurationer som kopierats i stegen ovan

• Kör följande kommando i powershell från katalogen där installationsfilerna kopieras i steg 2.1: <variabelvärde som angavs vid installationen>

3. Verifiera anslutningen

Följ anvisningarna för att verifiera anslutningen:

Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av händelseschemat.

Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.

Om loggarna inte tas emot verifierar du stegen nedan för eventuella körningsproblem:

1. Kontrollera att den schemalagda aktiviteten har skapats och är i körningstillstånd i Schemaläggaren för Windows.

2. Sök efter aktivitetskörningsfel på historikfliken i Windows Task Scheduler för den nyligen skapade aktiviteten i steg 2.4

3. Kontrollera att SQL-granskningstabellen består av nya poster medan den schemalagda Windows-aktiviteten körs.

Stöds av:Microsoft Corporation

AWS EKS-dataanslutningsappen ger möjlighet att mata in granskningsloggar från Amazon Elastic Kubernetes Service till Microsoft Sentinel. Den här anslutningsappen fokuserar på EKS-granskningsloggar (JSON-format) som innehåller detaljerad information om API-serverbegäranden, autentiseringsbeslut och klusteraktiviteter. Anslutningsappen använder AWS SQS för att ta emot meddelanden när nya granskningsloggfiler exporteras till S3, vilket säkerställer säkerhetsövervakning och efterlevnadsspårning i realtid för dina Kubernetes-kluster.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Installationsinstruktioner:

1. Distribution av AWS CloudFormation

Använd de tillhandahållna CloudFormation-mallarna för att konfigurera AWS-miljön för att skicka loggar från AWS EKS till Log Analytics-arbetsytan.

Distribuera CloudFormation-mallar i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Klicka på Skapa stack och välj Med nya resurser.
3. Välj Ladda upp en mallfil och klicka sedan på Välj fil för att ladda upp lämplig CloudFormation-mall (mall 1 och 2 nedan).
4. Följ anvisningarna och klicka på Nästa för att slutföra skapandet av stacken.
5. När stackarna har skapats navigerar du till avsnittet Utdata . Kör skripten i steg 1 och 2 från utdataavsnittet, det strömmar loggen från eks till kvm.
6. I samma utdataavsnitt noterar du roll-ARN- och SQS-kö-URL:en som ska användas i anslutningsappen.

• Mall 1: Distribution av OpenID Connect-autentiseringsprovider: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWS EKS-resurser: <variabelvärde som anges vid installationen>

2. Anslut nya insamlare

Om du vill aktivera AWS Security Hub Connector för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• SentinelRoleArn: (AWS IAM-roll-ARN för åtkomst mellan konton (t.ex. arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (Den fullständiga AWS EKS-kö-URL:en (t.ex. https://sqs.region.amazonaws.com/account-id/queue-name))

3. Anslut

Aktivera AWS EKS-anslutningstjänsten.

• Aktivera/inaktivera anslutning

Stöds av:Microsoft Corporation

Med den här anslutningsappen kan du mata in AWS S3-serveråtkomstloggar i Microsoft Sentinel. De här loggarna innehåller detaljerade poster för begäranden som görs till S3-bucketar, inklusive typ av begäran, resursåtkomst, information om beställare och svarsinformation. Dessa loggar är användbara för att analysera åtkomstmönster, felsöka problem och säkerställa säkerhetsefterlevnad.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: S3 Bucket, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper.

Installationsinstruktioner:

1. AWS CloudFormation Distribution För att konfigurera åtkomst på AWS har två mallar genererats för att konfigurera AWS-miljön för att skicka loggar från en AWS S3 Server Access-loggar till Log Analytics-arbetsytan.

Distribuera CloudFormation-mallar i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Klicka på Skapa stack och välj Med nya resurser.
3. Välj Ladda upp en mallfil och klicka sedan på Välj fil för att ladda upp lämplig CloudFormation-mall.
4. Följ anvisningarna och klicka på Nästa för att slutföra skapandet av stacken.
5. När stackarna har skapats noterar du url:en för roll-ARN och SQS-kö.

• Mall 1: Distribution av OpenID Connect-autentiseringsprovider: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWS-serveråtkomstresurser: <variabelvärde som anges vid installationen>

2. Anslut nya insamlare Om du vill aktivera anslutningsappen för AWS S3-serveråtkomstloggar för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Den här anslutningsappen möjliggör inmatning av AWS Security Hub-resultat, som samlas in i AWS S3-bucketar, i Microsoft Sentinel. Det hjälper till att effektivisera övervakningen och hanteringen av säkerhetsaviseringar genom att integrera AWS Security Hub-resultat med Microsoft Sentinel avancerade funktioner för hotidentifiering och svar.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper.

Installationsinstruktioner:

1. AWS CloudFormation-distribution Använd de tillhandahållna CloudFormation-mallarna för att konfigurera AWS-miljön för att skicka loggar från AWS Security Hub till din Log Analytics-arbetsyta.

Distribuera CloudFormation-mallar i AWS:

1. Gå till AWS CloudFormation Stacks.
2. Klicka på Skapa stack och välj Med nya resurser.
3. Välj Ladda upp en mallfil och klicka sedan på Välj fil för att ladda upp lämplig CloudFormation-mall.
4. Följ anvisningarna och klicka på Nästa för att slutföra skapandet av stacken.
5. När stackarna har skapats noterar du url:en för roll-ARN och SQS-kö.

• Mall 1: Distribution av OpenID Connect-autentiseringsprovider: <variabelvärde som anges vid installationen>
• Mall 2: Distribution av AWS Security Hub-resurser: <variabelvärde som anges vid installationen>

2. Anslut nya insamlare Om du vill aktivera AWS Security Hub Connector för Microsoft Sentinel klickar du på knappen Lägg till ny insamlare, fyller i nödvändig information i kontextfönstret och klickar på Anslut.

• Rutnät för dataanslutningsprogram (konfigurera i portalen)

Stöds av:Microsoft Corporation

Azure aktivitetsloggen är en prenumerationslogg som ger inblick i händelser på prenumerationsnivå som inträffar i Azure, inklusive händelser från Azure Resource Manager driftdata, tjänsthälsohändelser, skrivåtgärder som vidtas på resurserna i din prenumeration och status för aktiviteter som utförs i Azure. Mer information finns i dokumentationen för Microsoft Sentinel .

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Stöds av:Microsoft Corporation

Azure Batch-kontot är en unikt identifierad entitet i Batch-tjänsten. De flesta Batch-lösningar använder Azure Storage för att lagra resursfiler och utdatafiler, så varje Batch-konto är vanligtvis associerat med ett motsvarande lagringskonto. Med den här anslutningsappen kan du strömma loggar för Azure Batch kontodiagnostik till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut diagnostikloggarna för Azure Batch-kontot till Sentinel.

Den här anslutningsappen använder Azure Policy för att tillämpa en enda Azure Batch kontologgströmningskonfiguration på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa en princip på alla aktuella och framtida instanser. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från ditt Azure Batch-konto i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Palo Alto Networks

Nästa generations brandvägg i molnet från Palo Alto Networks – en Azure intern ISV-tjänst – är Palo Alto Networks Next-Generation Firewall (NGFW) som levereras som en molnbaserad tjänst på Azure. Du kan identifiera Cloud NGFW på Azure Marketplace och använda det i dina Azure virtuella nätverk (VNet). Med Cloud NGFW kan du komma åt kärnfunktionerna i NGFW, till exempel App-ID, URL-filtreringsbaserade tekniker. Det ger skydd mot hot och identifiering via molnbaserade säkerhetstjänster och signaturer för skydd mot hot. Med anslutningsappen kan du enkelt ansluta dina Cloud NGFW-loggar med Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner. Mer information finns i dokumentationen för Cloud NGFW för Azure.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Installationsinstruktioner:

Ansluta Cloud NGFW från Palo Alto Networks till Microsoft Sentinel

Aktivera logginställningar för alla moln-NGFW:ar från Palo Alto Networks.

Inuti din NGFW-molnresurs:

1. Gå till Logginställningar från startsidan.
2. Kontrollera att kryssrutan Aktivera logginställningar är markerad.
3. I listrutan Logginställningar väljer du önskad Log Analytics-arbetsyta.
4. Bekräfta dina val och konfigurationer.
5. Klicka på Spara för att tillämpa inställningarna.

Stöds av:Microsoft Corporation

Azure Cognitive Search är en molnsöktjänst som ger utvecklare infrastruktur, API:er och verktyg för att skapa en omfattande sökupplevelse över privat, heterogent innehåll i webb-, mobil- och företagsprogram. Med den här anslutningsappen kan du strömma dina Azure Cognitive Search diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut Azure Cognitive Search diagnostikloggar till Sentinel.

Den här anslutningsappen använder Azure Policy för att tillämpa en enda Azure Cognitive Search loggströmningskonfiguration på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa en princip på alla aktuella och framtida instanser. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från Azure Cognitive Search i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Microsoft Corporation

Anslut till Azure DDoS Protection Standard-loggar via diagnostikloggar för offentliga IP-adresser. Förutom det grundläggande DDoS-skyddet på plattformen tillhandahåller Azure DDoS Protection Standard avancerade DDoS-riskreduceringsfunktioner mot nätverksattacker. Den justeras automatiskt för att skydda dina specifika Azure resurser. Skydd är enkelt att aktivera när nya virtuella nätverk skapas. Det kan också göras när det har skapats och kräver inga program- eller resursändringar. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Stöds av:Microsoft Corporation

Med dataanslutningen Azure DevOps-granskningsloggar kan du mata in granskningshändelser från Azure DevOps till Microsoft Sentinel. Den här dataanslutningsappen skapas med hjälp av Microsoft Sentinel Codeless Connector Framework, vilket säkerställer sömlös integrering. Den använder api:et Azure DevOps-granskningsloggar för att hämta detaljerade granskningshändelser och stöder DCR-baserade omvandlingar av inmatningstid. Dessa transformeringar möjliggör parsning av mottagna granskningsdata i en anpassad tabell under inmatningen, vilket förbättrar frågeprestandan genom att eliminera behovet av ytterligare parsning. Med hjälp av den här anslutningsappen kan du få bättre insyn i din Azure DevOps-miljö och effektivisera dina säkerhetsåtgärder.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Azure DevOps-krav: Kontrollera följande:
  1. Registrera en Entra-app i Microsoft Entra Admin Center under Appregistreringar.
  2. I "API-behörigheter" – lägg till Behörigheter till "Azure DevOps – vso.auditlog".
  3. I "Certifikat & hemligheter" - generera "Klienthemlighet".
  4. I "Autentisering" lägger du till omdirigerings-URI:n som finns nedan i motsvarande fält.
  5. I Azure DevOps-inställningar aktiverar du granskningslogg och anger Visa granskningslogg för användaren. Azure DevOps-granskning.
  6. Se till att användaren som har tilldelats att ansluta dataanslutningsappen har behörigheten Visa granskningsloggar uttryckligen inställd på Tillåt hela tiden. Den här behörigheten är nödvändig för att logginmatningen ska lyckas. Om behörigheten återkallas eller inte beviljas misslyckas datainmatningen eller avbryts.

Installationsinstruktioner:

**Anslut till Azure DevOps för att börja samla in granskningsloggar i Microsoft Sentinel. **

1. Ange den app som du har registrerat.
2. I avsnittet Översikt kopierar du program-ID:t (klient).
3. Välj knappen Slutpunkter och kopiera värdet OAuth 2.0-auktoriseringsslutpunkt (v2) och värdet OAuth 2.0-tokenslutpunkt (v2).
4. I avsnittet "Certifikat & hemligheter" kopierar du värdet "Klienthemlighet" och lagrar det på ett säkert sätt.
5. Ange den information som krävs nedan och klicka på Anslut.

• Tokenslutpunkt: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• Auktoriseringsslutpunkt: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• API-slutpunkt: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

Stöds av:Microsoft Corporation

Azure Event Hubs är en plattform för stordataströmning och händelseinmatningstjänst. Den kan ta emot och bearbeta miljontals händelser per sekund. Med den här anslutningsappen kan du strömma Azure händelsehubbens diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut Azure händelsehubbens diagnostikloggar till Sentinel.

Den här anslutningsappen använder Azure Policy för att tillämpa en enda Azure loggströmningskonfiguration för händelsehubben på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa en princip på alla aktuella och framtida instanser. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från din Azure Händelsehubb i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Microsoft Corporation

Anslut till Azure Firewall. Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network resurser. Det är en fullständigt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Stöds av:Microsoft Corporation

Azure Key Vault är en molntjänst för säker lagring och åtkomst till hemligheter. En hemlighet är allt du vill kontrollera åtkomsten till, till exempel API-nycklar, lösenord, certifikat eller kryptografiska nycklar. Med den här anslutningsappen kan du strömma dina Azure Key Vault-diagnostikloggar till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Stöds av:Microsoft Corporation

Azure Kubernetes Service (AKS) är en fullständigt hanterad containerorkestreringstjänst med öppen källkod som gör att du kan distribuera, skala och hantera Docker-containrar och containerbaserade program i en klustermiljö. Med den här anslutningsappen kan du strömma dina Azure Kubernetes Service-diagnostikloggar (AKS) till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Stöds av:Microsoft Corporation

Azure Logic Apps är en molnbaserad plattform för att skapa och köra automatiserade arbetsflöden som integrerar dina appar, data, tjänster och system. Med den här anslutningsappen kan du strömma dina Azure Logic Apps-diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut logic apps-diagnostikloggarna till Sentinel.

Den här anslutningsappen använder Azure Policy för att tillämpa en enda Azure Log Apps-loggströmningskonfiguration på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa en princip på alla aktuella och framtida instanser. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från Azure Logic Apps i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Microsoft Corporation

Azure Resource Graph-anslutningsappen ger bättre insikter om Azure händelser genom att komplettera information om Azure prenumerationer och Azure resurser.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Behörighet för ägarroll för Azure-prenumerationer

Installationsinstruktioner:

Ansluta Azure Resource Graph till Microsoft Sentinel

Stöds av:Microsoft Corporation

Azure Service Bus är en fullständigt hanterad meddelandekö för företag med meddelandeköer och publicera-prenumerera-ämnen (i ett namnområde). Med den här anslutningsappen kan du strömma dina Azure Service Bus-diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut Azure Service Bus diagnostikloggar till Sentinel.

Den här anslutningsappen använder Azure Policy för att tillämpa en enda Azure Service Bus loggströmningskonfiguration på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa en princip på alla aktuella och framtida instanser. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från Azure Service Bus i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Microsoft Corporation

Azure SQL är en fullständigt hanterad PaaS-databasmotor (Plattform som en tjänst) som hanterar de flesta databashanteringsfunktioner, till exempel uppgradering, korrigering, säkerhetskopiering och övervakning, utan att användaren behöver delta. Med den här anslutningsappen kan du strömma gransknings- och diagnostikloggar för dina Azure SQL-databaser till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Stöds av:Microsoft Corporation

Azure Storage-konto är en molnlösning för moderna datalagringsscenarier. Den innehåller alla dina dataobjekt: blobar, filer, köer, tabeller och diskar. Med den här anslutningsappen kan du strömma diagnostikloggar för Azure lagringskonton till din Microsoft Sentinel arbetsyta, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser och identifiera skadlig aktivitet i din organisation. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut diagnostikloggarna för ditt Azure storage-konto till Sentinel.

Den här anslutningsappen använder en uppsättning Azure-principer för att tillämpa en konfiguration för loggströmning på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa principer på alla aktuella och framtida instanser. För att få ut mesta möjliga av diagnostikloggningen för lagringskontot från Azure storage-kontot rekommenderar vi att du aktiverar diagnostikloggning från alla tjänster i Azure Storage-kontot – blob, kö, tabell och fil. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från ditt Azure Storage-konto i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stream diagnostikloggar från din Azure Storage Blob-tjänst i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stream diagnostikloggar från Azure Storage Queue-tjänsten i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stream diagnostikloggar från din Azure Storage Table-tjänst i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stream diagnostikloggar från din Azure Storage-filtjänst i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Microsoft Corporation

Azure Stream Analytics är en analysmotor i realtid och en komplex motor för händelsebearbetning som är utformad för att analysera och bearbeta stora volymer av snabbströmningsdata från flera källor samtidigt. Med den här anslutningsappen kan du strömma dina Azure Stream Analytics-hubbdiagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Installationsinstruktioner:

Anslut dina Azure Stream Analytics-diagnostikloggar till Sentinel.

Den här anslutningsappen använder Azure Policy för att tillämpa en enda Azure Stream Analytics-loggströmningskonfiguration på en samling instanser som definieras som ett omfång. Följ anvisningarna nedan för att skapa och tillämpa en princip på alla aktuella och framtida instanser. Observera att du kanske redan har en aktiv princip för den här resurstypen.

Stream diagnostikloggar från din Azure Stream Analytics i stor skala

**Starta guiden Azure Policy tilldelning och följ stegen. **

1. På fliken Grundläggande klickar du på knappen med de tre punkterna under Omfång för att välja din prenumeration.
2. På fliken Parametrar väljer du din Microsoft Sentinel arbetsyta i listrutan Log Analytics-arbetsyta och lämnar markerat som "Sant" för alla loggkategorier som du vill mata in.
3. Om du vill tillämpa principen på dina befintliga resurser markerar du kryssrutan Skapa en reparationsaktivitet på fliken Reparation .

Stöds av:Microsoft Corporation

Anslut till Azure Web Application Firewall (WAF) för Application Gateway, Front Door eller CDN. Denna WAF skyddar dina program från vanliga webbsårbarheter som SQL-inmatning och skriptkörning mellan webbplatser, och gör att du kan anpassa regler för att minska falska positiva identifieringar. Instruktioner för att strömma brandväggsloggarna för microsoft webbaserade program till Microsoft Sentinel visas under installationsprocessen. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Stöds av:Better Mobile Security Inc.

Med BETTER MTD-anslutningsappen kan företag ansluta sina Better MTD-instanser till Microsoft Sentinel, visa sina data i instrumentpaneler, skapa anpassade aviseringar, använda dem för att utlösa spelböcker och utöka funktionerna för hotjakt. Detta ger användarna mer inblick i organisationens mobila enheter och möjlighet att snabbt analysera den aktuella mobila säkerhetspositionen, vilket förbättrar deras övergripande SecOps-funktioner.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Installationsinstruktioner:

1. I Better MTD Console (Bättre MTD-konsol) klickar du på Integrering i sidofältet.
2. Välj fliken Andra .
3. Klicka på knappen LÄGG TILL KONTO och Välj Microsoft Sentinel från de tillgängliga integreringarna.
4. Skapa integreringen:

• ange ACCOUNT NAME ett beskrivande namn som identifierar integreringen och klicka sedan på Nästa
• Ange och WORKSPACE IDPRIMARY KEY i fälten nedan klickar du på Spara
• Klicka på Klar

5. Konfiguration av hotprincip (vilka incidenter som ska rapporteras till Microsoft Sentinel):

• I Better MTD Console (Bättre MTD-konsol) klickar du på Principer i sidofältet
• Klicka på knappen Redigera för den princip som du använder.
• För varje incidenttyp som du vill logga går du till fältet Skicka till integreringar och väljer Sentinel

6. Mer information finns i vår dokumentation.

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Stöds av:BeyondTrust

Dataanslutningsappen BeyondTrust Privilege Management Cloud ger möjlighet att mata in aktivitetsgranskningsloggar och klienthändelseloggar från BeyondTrust PM Cloud till Microsoft Sentinel.

Den här anslutningsappen använder Azure Functions för att hämta data från BeyondTrust PM Cloud API och mata in dem i anpassade Log Analytics-tabeller.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• BeyondTrust PM Cloud API-autentiseringsuppgifter: BeyondTrust PM Cloud OAuth-klient-ID och klienthemlighet krävs. API-kontot kräver följande behörigheter: Granskning – Skrivskyddad och rapportering – Skrivskyddad

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till BeyondTrust PM Cloud API för att hämta loggar till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

OBSERVERA: Den här anslutningsappen använder OAuth 2.0-klientens autentiseringsuppgifter för att autentisera med BeyondTrust PM Cloud API.

STEG 1 – Hämta autentiseringsuppgifter för BeyondTrust PM Cloud API

Skapa ett API-konto i molninstansen BeyondTrust PM med OAuth API-autentiseringsuppgifter (klient-ID och klienthemlighet). API-kontot kräver följande behörigheter:

• Granskning – skrivskyddad
• Rapportering – skrivskyddad

STEG 2 – Distribuera anslutningsappen och den associerade Azure-funktionen

Använd den här metoden för automatisk distribution av BeyondTrust PM Cloud Data Connector med hjälp av en ARM-mall.

1. Klicka på knappen Distribuera till Azure nedan.

   portal.azure.com

2. Välj önskad prenumeration, resursgrupp (måste innehålla din Log Analytics-arbetsyta) och Plats.

3. Ange de obligatoriska parametrarna:

   • Namn på arbetsyta: Namnet på din Log Analytics-arbetsyta (t.ex. beyondtrust-pmcloud)
   • BeyondTrust PM Cloud Base URL: Din klient-URL (t.ex. https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust-klient-ID: OAuth-klient-ID från steg 1
   • BeyondTrust-klienthemlighet: OAuth-klienthemlighet från steg 1
   • Avsökningsintervall för aktivitetsgranskningar: Hur ofta aktivitetsgranskningar ska samlas in (standard: 15 minuter)
   • Avsökningsintervall för klienthändelser: Hur ofta klienthändelser ska samlas in (standard: 5 minuter)
   • Loggnivå: Loggningsnivå för felsökning (standard: Information)
   • Tidsram för historiska data: Så långt tillbaka för att samla in data vid första körningen (standard: 1 dag)

4. Granska avancerade inställningar (SKU för värdplan, typ av lagringskonto) och justera om det behövs.

5. Markera kryssrutan med etiketten Jag godkänner de villkor som anges ovan.

6. Klicka på Köp för att distribuera.

7. Distributionen skapar alla nödvändiga resurser: Funktionsapp, Lagringskonto, Slutpunkt för datainsamling, Regler för datainsamling och anpassade Log Analytics-tabeller.

8. Data bör börja flöda inom 15–30 minuter efter distributionen.

Stöds av:BigID

BigID DSPM-dataanslutningsappen ger möjlighet att mata in BigID-DSPM fall med berörda objekt och information om datakällor i Microsoft Sentinel.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• BigID DSPM API-åtkomst: Åtkomst till BigID DSPM API via en BigID-token krävs.

Installationsinstruktioner:

Anslut till BigID DSPM API för att börja samla in BigID-DSPM fall och berörda objekt i Microsoft Sentinel

Ange ditt BigID-domännamn som "customer.bigid.cloud" och din BigID-token. Generera en token i BigID-konsolen via Inställningar –> Åtkomsthantering –> Användare –> Välj Användare och generera en token.

• BigID FQDN: (BigID FQDN)
• BigID-token: (BigID-token)
• Aktivera/inaktivera anslutning

Stöds av:Microsoft Corporation

Bitglass-dataanslutningsappen ger möjlighet att hämta säkerhetshändelseloggar för Bitglass-tjänsterna och fler händelser till Microsoft Sentinel via REST-API:et. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• REST API-autentiseringsuppgifter/-behörigheter: BitglassToken och BitglassServiceURL krävs för att göra API-anrop.

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Azure Blob Storage-API:et för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning och för lagring av data i Azure Blob Storage kostnader. Mer information finns på sidan med Azure Functions prissättning och Azure Blob Storage prissättning.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

OBSERVERA: Den här dataanslutningen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat Bitglass som distribueras med Microsoft Sentinel Solution.

STEG 1 – Konfigurationssteg för API:et för hämtning av Bitglass-logg

Följ anvisningarna för att hämta autentiseringsuppgifterna.

1. Kontakta Bitglass support och hämta BitglassToken och BitglassServiceURL ntation].
2. Spara autentiseringsuppgifter för att använda i dataanslutningsappen.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar Bitglass-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Använd den här metoden för automatisk distribution av Bitglass-dataanslutningsappen med hjälp av en ARM-mall.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

OBSERVERA: I samma resursgrupp kan du inte blanda Windows- och Linux-appar i samma region. Välj en befintlig resursgrupp utan Windows-appar i den eller skapa en ny resursgrupp. 3. Ange BitglassToken, BitglassServiceURL och distribuera. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera Bitglass-dataanslutningen manuellt med Azure Functions (distribution via Visual Studio Code).

1. Distribuera en funktionsapp

OBSERVERA: Du måste förbereda VS-kod för Azure funktionsutveckling.

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.

2. Starta VS Code. Välj Arkiv på huvudmenyn och välj Öppna mapp.

3. Välj mappen på den översta nivån från extraherade filer.

4. Välj ikonen Azure i aktivitetsfältet och välj sedan knappen Distribuera till funktionsapp i området Azure: Funktioner. Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Funktioner väljer du Logga in för att Azure Om du redan är inloggad går du till nästa steg.

5. Ange följande information i prompterna:

   a. Välj mapp: Välj en mapp från arbetsytan eller bläddra till en som innehåller din funktionsapp.

   b. Välj prenumeration: Välj den prenumeration som ska användas.

   c. Välj Skapa ny funktionsapp i Azure (välj inte alternativet Avancerat)

   d. Ange ett globalt unikt namn för funktionsappen: Ange ett namn som är giltigt i en URL-sökväg. Namnet du skriver verifieras för att se till att det är unikt i Azure Functions. (t.ex. BitglassXXXXX).

   e. Välj en körningsmiljö: Välj Python 3.11.

   f. Välj en plats för nya resurser. För bättre prestanda och lägre kostnader väljer du samma region där Microsoft Sentinel finns.

6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

7. Gå till Azure-portalen för konfigurationen av funktionsappen.

8. Konfigurera funktionsappen

9. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.

10. På fliken Programinställningar väljer du Ny programinställning.

11. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (valfritt)

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

4. När alla programinställningar har angetts klickar du på Spara.

Stöds av:Bitwarden Inc

Den här anslutningsappen ger inblick i aktiviteten i din Bitwarden-organisation, till exempel användarens aktivitet (inloggad, ändrat lösenord, 2fa osv.), chifferaktivitet (skapad, uppdaterad, borttagen, delad osv.), insamlingsaktivitet, organisationsaktivitet med mera.

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Bitwarden-klient-ID och klienthemlighet: Din API-nyckel finns i bitwarden-organisationens administratörskonsol. Mer information finns i Bitwarden-dokumentationen .

Installationsinstruktioner:

Ansluta Bitwarden-händelseloggar till Microsoft Sentinel

Din API-nyckel finns i bitwarden-organisationens administratörskonsol. Mer information finns i Bitwarden-dokumentationen . Bitwarden-servrar med egen värd kan behöva konfigurera om installationens URL.

• Bitwarden Identity URL: (https://identity.bitwarden.com)
• Bitwarden API-URL: (https://api.bitwarden.com)

Stöds av:blacklens.io Support

Med blacklens.io dataanslutning kan du mata in aviseringar för hantering av attackytan från blacklens.io till Microsoft Sentinel med hjälp av en webhook-baserad logikapp och api:et Azure Övervaka logginmatning.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Azure-prenumeration: Behörigheter som deltagare eller ägare för resursgruppen krävs för att distribuera infrastrukturen för datainmatning (slutpunkt för datainsamling, datainsamlingsregel, anpassad tabell och logikapp).
• blacklens.io-konto: Ett blacklens.io konto med webhook-integreringsfunktioner krävs.

Installationsinstruktioner:

Steg 1 – Distribuera infrastrukturen för datainmatning

Det här steget distribuerar nödvändiga Azure resurser: en datainsamlingsslutpunkt, datainsamlingsregel, anpassad Log Analytics-tabell (blacklens_CL) och en webhook-utlöst logikapp.

1. Klicka på knappen Distribuera till Azure nedan.

   portal.azure.com

2. Välj den prenumeration, resursgrupp och plats där din Microsoft Sentinel arbetsyta finns.

3. Ange arbetsytans namn för Log Analytics-arbetsytan.

4. Klicka på Granska + skapa och sedan på Skapa.

Steg 2 – Kopiera webhookens URL

1. När distributionen är klar klickar du på fliken Utdata på distributionssidan.
2. Kopiera värdet webhookUrl .

Du kan också gå till Översikt över Logic Apps >la-blacklens-alert-log-ingestion> och kopiera arbetsflödes-URL:en.

Steg 3 – Konfigurera blacklens.io

1. Logga in på blacklens.io-portalen.
2. Gå till webhooksintegreringsinställningarna.
3. Klistra in webhookens URL som kopierats i steg 2.
4. Spara konfigurationen.
5. Länka webhooksintegreringen till minst en meddelandeprincip så att aviseringar skickas till webhooken.

Efter några minuter bör en testincident visas i Microsoft Sentinel.

Stöds av:Microsoft Corporation

Box-dataanslutningsappen ger möjlighet att mata in Box Enterprise-händelser i Microsoft Sentinel med hjälp av Box REST API. Mer information finns i Box-dokumentationen .

Log Analytics-tabeller:

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• Autentiseringsuppgifter för Box API: Box config JSON-fil krävs för Box REST API JWT-autentisering. Mer information finns i JWT-autentisering.

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Box REST API för att hämta loggar till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.

OBSERVERA: Den här anslutningsappen är beroende av en parser som baseras på Kusto-funktionen för att fungera som förväntade BoxEvents som distribueras med Microsoft Sentinel-lösningen.

STEG 1 – Konfiguration av box-händelsesamlingen

Se dokumentationen för att konfigurera JWT-autentisering och hämta JSON-fil med autentiseringsuppgifter.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar Box-dataanslutningsappen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt Box JSON-konfigurationsfilen, som är lättillgänglig.

• Arbetsyte-ID: <variabelvärde som angavs vid installationen>
• Primärnyckel: <variabelvärde som angavs vid installationen>

Alternativ 1 – Azure Resource Manager (ARM)-mall

Använd den här metoden för automatisk distribution av Box-dataanslutningsappen med hjälp av en ARM-tempate.

1. Klicka på knappen Distribuera till Azure nedan.

   aka.ms

2. Välj önskad prenumeration, resursgrupp och plats.

3. Ange AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON

4. Markera kryssrutan med etiketten Jag godkänner de villkor som anges ovan.

5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera Box Data Connector manuellt med Azure Functions (distribution via Visual Studio Code).

Steg 1 – Distribuera en funktionsapp

1. Ladda ned Azure-funktionsappfilen. Extrahera arkivet till din lokala utvecklingsdator.
2. Följ instruktionerna för manuell distribution av funktionsappen för att distribuera Azure Functions-appen med VSCode.
3. När distributionen av funktionsappen har slutförts följer du nästa steg för att konfigurera den.

Steg 2 – Konfigurera funktionsappen

1. Gå till Azure-portalen för konfigurationen av funktionsappen.
2. I funktionsappen väljer du funktionsappens namn och sedan Konfiguration.
3. På fliken Programinställningar väljer du + Ny programinställning.
4. Lägg till var och en av följande programinställningar individuellt med sina respektive strängvärden (skiftlägeskänsliga): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (valfritt)

• Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

5. När alla programinställningar har angetts klickar du på Spara.

Stöds av:Microsoft Corporation

Box-dataanslutningsappen ger möjlighet att mata in Box Enterprise-händelser i Microsoft Sentinel med hjälp av Box REST API. Mer information finns i Box-dokumentationen .

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Autentiseringsuppgifter för Box API: Box API kräver ett Klient-ID för Box App och klienthemlighet för att autentisera. Mer information finns i Bevilja klientautentiseringsuppgifter
• Box Enterprise-ID: Box Enterprise-ID krävs för att upprätta anslutningen. Se dokumentationen för att hitta Företags-ID

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Codeless Connecor Platform (CCF) för att ansluta till Box REST API för att hämta loggar till Microsoft Sentinel.

OBSERVERA: Den här anslutningsappen är beroende av en parser som baseras på Kusto-funktionen för att fungera som förväntade BoxEvents som distribueras med Microsoft Sentinel-lösningen.

STEG 1 – Skapa anpassat boxprogram

Se dokumentationen för att konfigurera autentisering av klientautentiseringsuppgifter

STEG 2 – Hämta klient-ID och klienthemlighetsvärden

Du kan behöva konfigurera 2FA för att hämta hemligheten.

STEG 3 – Grab Box Enterprise-ID från Box Admin Console

Se dokumentationen för att hitta Företags-ID

Anslut till Box för att börja samla in händelseloggar till Microsoft Sentinel

Ange de värden som krävs nedan:

• Box Enterprise-ID: (123456)

Stöds av:Check Point

CloudGuard-dataanslutningsappen möjliggör inmatning av säkerhetshändelser från CloudGuard-API:et till Microsoft Sentinel ™ med hjälp av Microsoft Sentinel Codeless Connector Framework. Anslutningsappen stöder DCR-baserade inmatningstidstransformeringar som parsar inkommande säkerhetshändelsedata i anpassade kolumner. Den här förparsningsprocessen eliminerar behovet av frågetidsparsning, vilket ger bättre prestanda för datafrågor.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• CloudGuard API-nyckel: Se anvisningarna här för att generera en API-nyckel.

Installationsinstruktioner:

Ansluta CloudGuard-säkerhetshändelser till Microsoft Sentinel

Om du vill aktivera CloudGuard-anslutningsappen för Microsoft Sentinel anger du den information som krävs nedan och väljer Anslut.

• API-nyckel-ID: (api_key)
• API-nyckelhemlighet: (api_secret)
• CloudGuard-slutpunkts-URL: (t.ex. https://api.dome9.com)
• Filter: (Klistra in filter från CloudGuard)
• Aktivera/inaktivera anslutning

Stöds av:Cyberint

Cyberint, ett Check Point företag, tillhandahåller en Microsoft Sentinel integrering för att effektivisera kritiska aviseringar och föra in berikad hotinformation från Infinity External Risk Management-lösningen i Microsoft Sentinel. Detta förenklar processen för att spåra status för biljetter med automatiska synkroniseringsuppdateringar mellan system. Med den här nya integreringen för Microsoft Sentinel kan befintliga Cyberint- och Microsoft Sentinel-kunder enkelt hämta loggar baserat på Cyberints resultat till Microsoft Sentinel plattform.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Check Point Cyberint API-nyckel, Argos-URL och kundnamn: API-nyckeln för anslutningsappen, Argos-URL:en och kundnamnet krävs

Installationsinstruktioner:

Ansluta Checkpoint Cyberint-aviseringar till Microsoft Sentinel

Om du vill aktivera anslutningsappen anger du nödvändig information nedan och klickar på Anslut.

Argos-URL – Cyberint API-URL för din klientorganisation (t.ex. https://your_tenant.cyberint.io) API-token – Cyberint API-åtkomsttoken Kundnamn – Företagsnamn (klient) som är associerat med dina Cyberint-instansmiljöer – Kommaavgränsad lista över miljöer som ska hämtas. Om den är tom hämtas alla miljöer.\n\nallvarlighetsgrad – kommaavgränsad lista över allvarlighetsgrad som ska hämtas (låg, medel, hög, very_high). Om det är tomt hämtas alla allvarlighetsgrader.\n\nAvsökningsintervall – Hur ofta du söker efter nya aviseringar i minuter (standard: 5)\n\nInkludera CSV-bifogade filer som JSON – Om du vill inkludera CSV-bifogade filer som JSON-innehåll i aviseringar (standard: falskt)

• Argos-URL: (https://your_tenant.cyberint.io)
• API-token: (Cyberint API-åtkomsttoken)
• Kundnamn: (Företagsnamn) som är associerat med din Cyberint-instans)
• Miljöer: (Kommaavgränsad lista (t.ex. produktion, mellanlagring))
• Allvarlighetsgrad: (Kommaavgränsad lista (t.ex. låg,medel,hög,very_high))
• Avsökningsintervall (minuter): (Avsökningsfrekvens i minuter)
• Inkludera CSV-bifogade filer som JSON: (sant eller falskt)
• Aktivera/inaktivera anslutning

Stöds av:Cyberint

Cyberint, ett Check Point företag, tillhandahåller en Microsoft Sentinel integrering för att mata in indikatorer för kompromettering (IOCs) från Infinity External Risk Management-lösningen till Microsoft Sentinel. Den här anslutningsappen hämtar automatiskt det dagliga IOK-flödet – inklusive skadliga IP-adresser, domäner, URL:er och filhashvärden – berikat med hotkontext som allvarlighetsgrad, konfidens och identifierad aktivitet.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Check Point Cyberint API-nyckel, Argos-URL och kundnamn: API-nyckeln för anslutningsappen, Argos-URL:en och kundnamnet krävs

Installationsinstruktioner:

Ansluta Check Point Cyberint IOC-feed till Microsoft Sentinel

Om du vill aktivera anslutningsappen anger du nödvändig information nedan och klickar på Anslut.

Argos-URL – Cyberint API-URL för din klientorganisation (t.ex. https://your_tenant.cyberint.io) API-token – Cyberint API-åtkomsttoken Kundnamn – Företagsnamn (klient) som är associerat med din Cyberint-instans

• Argos-URL: (https://your-company.cyberint.io)
• API-token: (API-token)
• Kundnamn: (Företagsnamn) som är associerat med din Cyberint-instans)
• Aktivera/inaktivera anslutning

Stöds av:Microsoft Corporation

Med Cisco ASA-brandväggsanslutningen kan du enkelt ansluta dina Cisco ASA-loggar med Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner.

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Om du vill samla in data från icke-Azure virtuella datorer måste de ha Azure Arc installerat och aktiverat. Läs mer

Installationsinstruktioner:

Aktivera datainsamlingsregel

Cisco ASA/FTD-händelseloggar samlas endast in från Linux agenter.

• Install Agent: <variabelvärde som angavs vid installationstiden>

Kör följande kommando för att installera och tillämpa Cisco ASA/FTD-insamlaren:

• Värde: <variabelvärde som angavs vid installationen>

Stöds av:Microsoft Corporation

Med Cisco Cloud Security-lösningen för Microsoft Sentinel kan du mata in Cisco Secure Access- och CiscoUmbrella-loggar som lagras i Amazon S3 i Microsoft Sentinel med hjälp av Amazon S3 REST API. Mer information finns i dokumentationen för logghantering i Cisco Cloud Security .

Log Analytics-tabeller:

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

• Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
• Amazon S3 REST API Credentials/permissions: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name krävs för Amazon S3 REST API.

Installationsinstruktioner:

OBSERVERA: Den här anslutningsappen använder Azure Functions för att ansluta till Amazon S3 REST API för att hämta loggar till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på prissättningssidan för Azure Functions.

OBSERVERA: Den här anslutningsappen har uppdaterats för att stödja Cisco Cloud Security-loggschema version 14.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure Functions App.

Obs! Den här anslutningsappen använder en parser baserad på en Kusto-funktion för att normalisera fält. Följ dessa steg för att skapa Kusto-funktionsaliaset Cisco_Umbrella.