TheHive Project - Connettore TheHive (con Funzioni di Azure) per Microsoft Sentinel
Il connettore dati TheHive offre la possibilità di inserire eventi TheHive comuni in Microsoft Sentinel tramite webhook. TheHive può notificare al sistema esterno gli eventi di modifica (creazione di casi, aggiornamento degli avvisi, assegnazione di attività) in tempo reale. Quando si verifica una modifica in TheHive, viene inviata una richiesta HTTPS POST con informazioni sull'evento a un URL del connettore dati di callback. Per altre informazioni, vedere la documentazione dei webhook. Il connettore consente di ottenere eventi che aiutano a esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | TheHive_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
EventiHive : tutte le attività.
TheHive_CL
| sort by TimeGenerated desc
Prerequisiti
Per eseguire l'integrazione con TheHive Project - TheHive (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- Credenziali/autorizzazioni dei webhook: url di callback necessari per i webhook funzionanti. Per altre informazioni sulla configurazione dei webhook, vedere la documentazione.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore dati usa Funzioni di Azure basato sul trigger HTTP per attendere le richieste POST con i log per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
Nota
Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto TheHive distribuito con la soluzione Microsoft Sentinel.
PASSAGGIO 1 - Passaggi di configurazione per TheHive
Seguire le istruzioni per configurare i webhook.
- Il metodo di autenticazione è Bearer Auth.
- Generare the TheHiveBearerToken in base ai criteri password.
- Configurare le notifiche webhook nel file application.conf, incluso il parametro TheHiveBearerToken.
PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore dati TheHive, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.