适用于 Microsoft Sentinel 的 Palo Alto Prisma Cloud CSPM(使用 Azure 函数)连接器

Palo Alto Prisma Cloud CSPM 数据连接器能够使用 Prisma Cloud CSPM API 将 Prisma Cloud CSPM 警报审核日志引入 Microsoft Sentinel。 有关详细信息,请参阅 Prisma Cloud CSPM API 文档

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 PaloAltoPrismaCloudAlert_CL
PaloAltoPrismaCloudAudit_CL
数据收集规则支持 目前不支持
支持的服务 Microsoft Corporation

查询示例

所有 Prisma Cloud 警报

PaloAltoPrismaCloudAlert_CL

| sort by TimeGenerated desc

所有 Prisma Cloud 审核日志

PaloAltoPrismaCloudAudit_CL

| sort by TimeGenerated desc

先决条件

若要集成 Palo Alto Prisma Cloud CSPM(使用 Azure 函数),请确保具备:

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Palo Alto Prisma Cloud REST API,将日志拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

注意

此数据连接器依赖基于 Kusto 函数的分析程序,作为使用 Microsoft Sentinel 解决方案部署的预期 PaloAltoPrismaCloud 工作。

步骤 1 - Prisma Cloud 的配置

按照文档创建 Prisma Cloud 访问密钥获取 Prisma Cloud API URL

注意:请使用 SYSTEM ADMIN 角色授予对 Prisma Cloud API 的访问权限,因为仅允许 SYSTEM ADMIN 角色查看 Prisma Cloud 审核日志。 有关管理员权限的更多详细信息,请参阅 Prisma Cloud 管理员权限 (paloaltonetworks.com)

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要提示:在部署 Prisma Cloud 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制),以及 Prisma Cloud API 凭据。