Projeto TheHive - Conector TheHive (usando o Azure Functions) para Microsoft Sentinel
O conector de dados TheHive fornece a capacidade de ingerir eventos TheHive comuns no Microsoft Sentinel através de Webhooks. TheHive pode notificar o sistema externo de eventos de modificação (criação de casos, atualização de alerta, atribuição de tarefas) em tempo real. Quando ocorre uma alteração no TheHive, uma solicitação HTTPS POST com informações de evento é enviada para uma URL de conector de dados de retorno de chamada. Consulte a documentação do Webhooks para obter mais informações. O conector fornece a capacidade de obter eventos que ajudam a examinar potenciais riscos de segurança, analisar o uso de colaboração da sua equipe, diagnosticar problemas de configuração e muito mais.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Tabela(s) do Log Analytics | TheHive_CL |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Corporação Microsoft |
Exemplos de consulta
TheHive Events - Todas as Atividades.
TheHive_CL
| sort by TimeGenerated desc
Pré-requisitos
Para integrar com o Projeto TheHive - TheHive (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões de Webhooks: TheHiveBearerToken, URL de retorno de chamada são necessários para Webhooks de trabalho. Consulte a documentação para saber mais sobre como configurar Webhooks.
Instruções de instalação do fornecedor
Nota
Esse conector de dados usa o Azure Functions com base no Gatilho HTTP para aguardar solicitações POST com logs para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Nota
Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado TheHive que é implantado com a solução Microsoft Sentinel.
PASSO 1 - Passos de configuração para o TheHive
Siga as instruções para configurar Webhooks.
- O método de autenticação é Bearer Auth.
- Gere o TheHiveBearerToken de acordo com sua política de senha.
- Notificações Webhook de configuração no arquivo application.conf , incluindo o parâmetro TheHiveBearerToken .
ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector de dados TheHive, tenha a ID do espaço de trabalho e a chave primária do espaço de trabalho (pode ser copiada do seguinte).
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.