Connettore di Protezione API per Microsoft Sentinel
Connette la protezione API 42Crunch ad Azure Log Analytics tramite l'interfaccia dell'API REST
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | apifirewall_log_1_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | 42 Protezione APICrunch |
Esempi di query
Richieste API limitate alla frequenza
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d == 429
Richieste API che generano un errore del server
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Status_d >= 500 and Status_d <= 599
Le richieste API hanno esito negativo per la convalida JWT
apifirewall_log_1_CL
| where TimeGenerated >= ago(30d)
| where Error_Message_s contains "missing [\"x-access-token\"]"
Istruzioni per l’installazione di Vendor
Passaggio 1: Leggere la documentazione dettagliata
Il processo di installazione è documentato in modo dettagliato nell'integrazione del repository GitHub di Microsoft Sentinel. L'utente deve consultare ulteriormente questo repository per comprendere l'installazione e il debug dell'integrazione.
Passaggio 2: Recuperare le credenziali di accesso all'area di lavoro
Il primo passaggio di installazione consiste nel recuperare sia l'ID area di lavoro che la chiave primaria dalla piattaforma Microsoft Sentinel. Copiare i valori mostrati di seguito e salvarli per la configurazione dell'integrazione del server d'inoltro dei log API.
Passaggio 3: Installare la protezione 42Crunch e il server d'inoltro dei log
Il passaggio successivo consiste nell'installare la protezione 42Crunch e il server d'inoltro dei log per proteggere l'API. Entrambi i componenti sono disponibili come contenitori dal repository 42Crunch. L'installazione esatta dipende dall'ambiente in uso, consultare la documentazione relativa alla protezione 42Crunch per informazioni dettagliate. Di seguito sono descritti due scenari di installazione comuni:
Installazione tramite Docker Compose
La soluzione può essere installata usando un file docker compose.
Installazione tramite grafici Helm
La soluzione può essere installata usando un grafico Helm.
Passaggio 4: Testare l'inserimento dati
Per testare l'inserimento dei dati, l'utente deve distribuire l'applicazione httpbin di esempio insieme al 42Crunch protection and log forwarder descritto in dettaglio qui.
4.1 Installare l'esempio
L'applicazione di esempio può essere installata in locale usando un file Docker compose che installa il server API httpbin, la protezione API 42Crunch e il server d'inoltro dei log di Microsoft Sentinel. Impostare le variabili di ambiente in base alle esigenze usando i valori copiati nel passaggio 2.
4.2 Eseguire l'esempio
Verificare che la protezione API sia connessa alla piattaforma 42Crunch e quindi esercitare l'API in locale su localhost sulla porta 8080 usando curl o simili. Dovrebbe essere visualizzata una combinazione di chiamate API passate e non riuscite.
4.3 Verificare l'inserimento dei dati in Log Analytics
Dopo circa 20 minuti di accesso all'area di lavoro Log Analytics nell'installazione di Microsoft Sentinel e individuare la sezione Log personalizzati per verificare che esista una tabella apifirewall_log_1_CL . Usare le query di esempio per esaminare i dati.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.