适用于 Microsoft Sentinel 的 Palo Alto Prisma Cloud CSPM(使用 Azure 函数)连接器
Palo Alto Prisma Cloud CSPM 数据连接器能够使用 Prisma Cloud CSPM API 将 Prisma Cloud CSPM 警报和审核日志引入 Microsoft Sentinel。 有关详细信息,请参阅 Prisma Cloud CSPM API 文档。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | PaloAltoPrismaCloudAlert_CL PaloAltoPrismaCloudAudit_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
所有 Prisma Cloud 警报
PaloAltoPrismaCloudAlert_CL
| sort by TimeGenerated desc
所有 Prisma Cloud 审核日志
PaloAltoPrismaCloudAudit_CL
| sort by TimeGenerated desc
先决条件
若要集成 Palo Alto Prisma Cloud CSPM(使用 Azure 函数),请确保具备:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Palo Alto Prisma Cloud API 凭据:Prisma Cloud API 连接需要 Prisma Cloud API URL、Prisma Cloud 访问密钥 ID 和 Prisma Cloud 密钥。 请参阅文档,详细了解如何创建 Prisma Cloud 访问密钥以及如何获取 Prisma Cloud API URL
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Palo Alto Prisma Cloud REST API,将日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
注意
此数据连接器依赖基于 Kusto 函数的分析程序,作为使用 Microsoft Sentinel 解决方案部署的预期 PaloAltoPrismaCloud 工作。
步骤 1 - Prisma Cloud 的配置
按照文档创建 Prisma Cloud 访问密钥并获取 Prisma Cloud API URL
注意:请使用 SYSTEM ADMIN 角色授予对 Prisma Cloud API 的访问权限,因为仅允许 SYSTEM ADMIN 角色查看 Prisma Cloud 审核日志。 有关管理员权限的更多详细信息,请参阅 Prisma Cloud 管理员权限 (paloaltonetworks.com)。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要提示:在部署 Prisma Cloud 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制),以及 Prisma Cloud API 凭据。