다음을 통해 공유

Microsoft Sentinel용 CommvaultSecurityIQ(Azure Functions 사용) 커넥터

  • 아티클

이 Azure 함수를 사용하면 Commvault 사용자가 Microsoft Sentinel 인스턴스에 경고/이벤트를 수집할 수 있습니다. 분석 규칙을 사용하면 Microsoft Sentinel에서 들어오는 이벤트 및 로그에서 Microsoft Sentinel 인시던트가 자동으로 생성됩니다.

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
애플리케이션 설정 apiUsername
apipassword
apiToken
workspaceID
workspaceKey
uri
logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가) uri 값을 <add uri value>로 설정
Azure 함수 앱 코드 Add%20GitHub%20link%20to%20Function%20App%20code
Log Analytics 테이블 CommvaultSecurityIQ_CL
데이터 수집 규칙 지원 현재 지원되지 않음
지원 공급자 Commvault

쿼리 샘플

**최근 10개 이벤트/경고 **

CommvaultSecurityIQ_CL 

| where TimeGenerated > ago(24h) 

| limit 10

필수 조건

CommvaultSecurityIQ(Azure Functions 사용)와 통합하려면 다음이 있는지 확인합니다.

  • Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
  • Commvault Environment 엔드포인트 URL: 설명서를 따르고 KeyVault에서 비밀 값을 설정해야 합니다.
  • Commvault QSDK 토큰: 설명서를 따르고 KeyVault에서 비밀 값을 설정해야 합니다.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Commvault Instance에 연결하여 해당 로그를 Microsoft Sentinel로 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - Commvalut QSDK 토큰에 대한 구성 단계

다음 지침에 따라 API 토큰을 만듭니다.

2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수를 배포합니다

중요: CommvaultSecurityIQ 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Commvault 엔드포인트 URL 및 QSDK 토큰을 쉽게 사용할 수 있습니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

Commvault Security IQ 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 선호하는 구독, 리소스 그룹위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, API 사용자 이름, API 암호, ‘및/또는 기타 필수 필드’를 입력합니다.

참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier}) 스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다. 5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions를 사용하여 CommvaultSecurityIQ 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 만들기

  2. Azure Portal에서 함수 앱으로 이동합니다.

  3. 위쪽에서 + 추가를 클릭합니다.

  4. 기본 사항 탭에서 런타임 스택이 '필요한 언어 추가'설정되어 있는지 확인합니다.

  5. 호스팅 탭에서 계획 유형이 '계획 유형 추가'설정되어 있는지 확인합니다.

  6. '다른 필수 구성 추가'.

  7. 필요한 경우 '다른 원하는 구성을 변경한’ 다음, 만들기를 클릭합니다.

  8. 함수 앱 코드 가져오기

  9. 새로 만든 함수 앱의 탐색 메뉴에서 함수를 선택하고 + 추가를 클릭합니다.

  10. 타이머 트리거를 선택합니다.

  11. 새 함수 필드에 고유한 함수 이름을 입력하고 5분마다 기본 cron 일정을 그대로 두고 함수 만들기를 클릭합니다.

  12. 함수 이름을 클릭하고 왼쪽 창에서 코드 + 테스트를 클릭합니다.

  13. 함수 앱 코드를 복사하여 함수 앱 run.ps1 편집기에 붙여넣습니다.

  14. 저장을 클릭합니다.

  15. 함수 앱 구성

  16. 함수 앱 화면에서 함수 앱 이름을 클릭하고 구성을 선택합니다.

  17. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  18. 다음 'x(개수)' 애플리케이션 설정을 각각 이름 아래에 개별적으로 추가하고 값 아래에 해당 문자열 값(대/소문자 구분)을 사용합니다. apiUsername apipassword apiToken workspaceID workspaceID workspaceKey uri logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가)는 값을 다음으로 설정합니다 uri . <add uri value>

참고: 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier}) 스키마를 사용합니다. 자세한 내용은 Azure Key Vault 참조 설명서를 참조하세요.

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어, 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 https://<CustomerId>.ods.opinsights.azure.us 형식으로 값을 지정합니다.
  1. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.