Connettore CommvaultSecurityIQ (usando Funzioni di Azure) per Microsoft Sentinel

Questa funzione di Azure consente agli utenti di Commvault di inserire avvisi/eventi nell'istanza di Microsoft Sentinel. Con le regole analitiche, Microsoft Sentinel può creare automaticamente eventi imprevisti e log di Microsoft Sentinel.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Esempi di query

**Ultimi 10 eventi/avvisi **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

Prerequisiti

Per eseguire l'integrazione con CommvaultSecurityIQ (usando Funzioni di Azure) assicurarsi di avere:

• autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
• URL dell'endpoint dell'ambiente Commvault: assicurarsi di seguire la documentazione e impostare il valore del segreto in KeyVault
• Token QSDK Commvault: assicurarsi di seguire la documentazione e impostare il valore del segreto in KeyVault

Istruzioni per l’installazione di Vendor

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per il token QSDK Commvalut

Seguire queste istruzioni per creare un token API.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati CommvaultSecurityIQ, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché l'URL dell'endpoint Commvault e il token QSDK, immediatamente disponibili.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati IQ di sicurezza Commvault.

1. Fare clic sul pulsante Distribuisci in Azure sotto.

   

2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

3. Immettere l'ID dell'area di lavoro, la chiave dell'area di lavoro, il nome utente dell'API, la password dell'API, i campi 'e/o Altri campi obbligatori'.

Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema@Microsoft.KeyVault(SecretUri={Security Identifier})al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault. 4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra. 5. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2: distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati CommvaultSecurityIQ con Funzioni di Azure.

1. Creare un'App per le funzioni

2. Nel portale di Azure passare a App per le funzioni.

3. Fare clic su + Aggiungi nella parte superiore.

4. Nella scheda Informazioni di base verificare che lo stack di runtime sia impostato su "Aggiungi linguaggio obbligatorio".

5. Nella scheda Hosting verificare che tipo di piano sia impostato su "Aggiungi tipo di piano".

6. 'Aggiungere altre configurazioni necessarie'.

7. "Apportare altre modifiche di configurazione preferibili", se necessario, quindi fare clic su Crea.

8. Importare codice dell'App per le funzioni

9. Nell'app per le funzioni appena creata selezionare Funzioni dal menu di spostamento e fare clic su + Aggiungi.

10. Selezionare Trigger Timer.

11. Immettere un nome funzione univoco nel campo Nuova funzione e lasciare la pianificazione cron predefinita di ogni 5 minuti, quindi fare clic su Crea funzione.

12. Fare clic sul nome della funzione e fare clic su Codice e test nel riquadro sinistro.

13. Copiare il codice dell'App per le funzioni e incollarlo nell'editor run.ps1 dell'App per le funzioni.

14. Fare clic su Salva.

15. Configurare l'App per le funzioni

16. Nella schermata App per le funzioni fare clic sul nome dell'app per le funzioni e selezionare Configurazione.

17. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

18. Aggiungere singolarmente le impostazioni dell'applicazione "x (numero di)" seguenti, in Nome, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole) in Valore: apiUsername apipassword apiToken workspaceID workspaceId uri logAnalyticsUri (facoltativo) (aggiungere eventuali altre impostazioni richieste dall'app per le funzioni) Impostare il uri valore su: <add uri value>

Nota: se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema@Microsoft.KeyVault(SecretUri={Security Identifier})al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Azure Key Vault.

• Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.