适用于 Microsoft Sentinel 的 Cohesity(使用 Azure Functions)连接器
Cohesity 函数应用提供将 Cohesity Datahawk 勒索软件警报引入 Microsoft Sentinel 的功能。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | Cohesity_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Cohesity |
查询示例
所有 Cohesity 日志
Cohesity_CL
| sort by TimeGenerated desc
先决条件
若要与 Cohesity(使用 Azure Functions)集成,请确保满足以下条件:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Azure Blob 存储连接字符串和容器名称:Azure Blob 存储连接字符串和容器名称
供应商安装说明
注意
此连接器使用连接到 Azure Blob 存储 和 KeyVault 的 Azure Functions。 这可能会导致额外费用。 有关详细信息,请查看 Azure Functions 定价页、Azure Blob 存储定价页和 Azure KeyVault 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure Key Vault 中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure Functions 应用结合使用。
步骤 1 - 获取 Cohesity DataHawk API 密钥(请参阅故障排除说明 1)
步骤 2 - 注册 Azure 应用(链接)并保存应用程序(客户端)ID、目录(租户)ID 和机密值。 向其授予 Azure 存储 (user_impersonation) 权限。 此外,在相应的订阅中将“Microsoft Sentinel 参与者”角色分配给应用程序。
步骤 3 - 部署连接器和关联的 Azure Functions。
Azure 资源管理器 (ARM) 模板
使用此方法利用 ARM 模板自动部署 Cohesity 数据连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入在前面的步骤中创建的参数
选中“我同意上述条款和条件”复选框。
单击“购买”进行部署。