适用于 Microsoft Sentinel 的 Cohesity(使用 Azure Functions)连接器

Cohesity 函数应用提供将 Cohesity Datahawk 勒索软件警报引入 Microsoft Sentinel 的功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 Cohesity_CL
数据收集规则支持 目前不支持
支持的服务 Cohesity

查询示例

所有 Cohesity 日志

Cohesity_CL

| sort by TimeGenerated desc

先决条件

若要与 Cohesity(使用 Azure Functions)集成,请确保满足以下条件:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • Azure Blob 存储连接字符串和容器名称:Azure Blob 存储连接字符串和容器名称

供应商安装说明

注意

此连接器使用连接到 Azure Blob 存储 和 KeyVault 的 Azure Functions。 这可能会导致额外费用。 有关详细信息,请查看 Azure Functions 定价页Azure Blob 存储定价页Azure KeyVault 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure Key Vault 中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure Functions 应用结合使用。

步骤 1 - 获取 Cohesity DataHawk API 密钥(请参阅故障排除说明 1

步骤 2 - 注册 Azure 应用(链接)并保存应用程序(客户端)ID、目录(租户)ID 和机密值。 向其授予 Azure 存储 (user_impersonation) 权限。 此外,在相应的订阅中将“Microsoft Sentinel 参与者”角色分配给应用程序。

步骤 3 - 部署连接器和关联的 Azure Functions。

Azure 资源管理器 (ARM) 模板

使用此方法利用 ARM 模板自动部署 Cohesity 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入在前面的步骤中创建的参数

  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。