第 20 章 与 Microsoft Sentinel notifier 集成
Microsoft Sentinel 是一个安全信息和事件管理(SIEM)解决方案,它基于 Red Hat Advanced Cluster Security for Kubernetes (RHACS)警报和审计日志。
20.1. 查看日志分析以检测威胁
通过创建 Microsoft Sentinel 集成,您可以查看日志分析以检测威胁。
先决条件
- 您已在 Microsoft Azure 上创建数据收集规则、日志分析工作区和服务主体。
- 您已在服务主体中配置了客户端 secret 或客户端证书以进行身份验证。
您已使用 JSON 格式的
TimeGenerated和msg字段创建了一个日志分析模式。重要您需要为审计日志和警报创建单独的日志分析表,并且两个数据源都使用相同的模式。
流程
-
在 RHACS 门户中,点 Platform Configuration
Integrations。 - 向下滚动到 Notifier Integrations 部分,然后单击 Microsoft Sentinel。
- 要创建新集成,请单击 New integration。
在 Create integration 页面中,提供以下信息:
- 集成名称 :指定集成的名称。
Log ingestion 端点 :输入数据收集端点。您可以在 Microsoft Azure 门户中找到端点。
如需更多信息,请参阅 Azure Monitor (Microsoft Azure 文档)中的数据收集规则(DCR)。
目录租户 ID :输入租户 ID,该 ID 在 Microsoft 云基础架构中唯一标识您的 Azure Active Directory (AAD)。您可以在 Microsoft Azure 门户中找到租户 ID。
如需更多信息,请参阅 Azure Active Directory B2C 中的查找租户名称和租户 ID (Microsoft Azure 文档)。
应用程序客户端 ID :输入客户端 ID,该客户端 ID 在您的 AAD 中唯一标识需要访问资源的特定应用程序。您可以在 Microsoft Entra 门户中找到您创建的服务主体的客户端 ID。
如需更多信息,请参阅 注册应用程序( Microsoft Azure 文档)。
选择适当的验证方法:
- 如果要使用 secret,请输入 secret 值。您可以在 Microsoft Azure 门户中找到 secret。
如果要使用客户端证书,请输入客户端证书和私钥。您可以在 Microsoft Azure 门户中找到证书 ID 和私钥。
如需更多信息,请参阅 Azure Active Directory B2C 的新应用程序注册体验 (Microsoft Azure 文档)。
可选:选择配置数据收集规则配置的适当方法:
如果要启用警报数据收集规则配置,请选择 Enable alert DCR 复选框。
要创建警报数据收集规则,请输入警报数据收集规则流名称和 ID。您可以在 Microsoft Azure 门户中找到流名称和 ID。
如果要启用审计数据收集规则配置,请选择 Enable audit log DCR 复选框。
要创建审计数据收集规则,请输入流名称和 ID。您可以在 Microsoft Azure 门户中找到流名称和 ID。
如需更多信息,请参阅 Azure Monitor (Microsoft Azure 文档)中的数据收集规则(DCR)。
- 可选: 要测试新集成,请点 Test。
- 若要保存新集成,请单击 Save。
验证
-
在 RHACS 门户中,点 Platform Configuration
Integrations。 - 向下滚动到 Notifier Integrations 部分,然后单击 Microsoft Sentinel。
- 在 Integrations Microsoft Sentinel 页面中,验证新集成是否已创建。
- 验证消息是否在日志分析工作区中收到正确的日志表。
