跳至主内容

集成 GravityZone 与Azure Sentinel

要建立Azure Sentinel与 GravityZone 请按照以下步骤操作:

  1. 登录Microsoft Azure门户。

  2. 在Microsoft Azure Sentinel中新建一个Log Analytics工作区用于接收 GravityZone 警报。

  3. 复制并保存新建工作区的 工作区ID 主密钥

    注意

    可从以下路径获取该信息: Microsoft Azure > Log Analytics工作区 > 代理管理 > 设置 .

    199857_4.png

  4. 在GravityZone控制中心启用事件推送API:

    1. 登录 GravityZone 控制中心 .

    2. 进入 我的账户 .

    3. API密钥 部分,点击 添加 .

    4. 选择 事件推送服务API 复选框并点击 保存 。新密钥将显示在API密钥表中。

      14099_1.png

    5. 点击 保存 以保存 我的账户 页面中的更改。

  5. 手动启用Azure集成:

    1. 从Linux或Mac上您常用的终端模拟器获取配置事件推送服务设置所需的信息:

      • GravityZone API URL。

        您可以在 我的账户 > 控制中心 API

        199857_6.png

      • GravityZone .

        标头值为Basic base64编码。要获取授权标头,请运行 echo 命令,后接带冒号(":")的API密钥。 

        > echo -n '604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:' | base64 -w 0

        结果应类似于: 

        NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=

      • Azure URL。

        您可以在 此处 找到它,其格式应类似如下(需编辑的设置已加下划线): https://客户ID.ods.opinsights.azure.com/api/logs?api-version=2016-04-01

        199857_5.png

        注意

        客户ID 替换为 工作区ID (该值在步骤3中获取)。

      • HTTP事件收集器令牌。

      • 步骤3中获取的工作区ID(用于"workspaceId")和主密钥(用于"sharedKey")设置。

    2. 运行以下命令(需编辑的设置已加下划线): 

      curl -k -X POST "https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push"
-H "authorization: BasicNjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo="-H "cache-control: no-cache"
-H "content-type: application/json"
-d '{"params": {"status": 1, "serviceType": "azureSentinel", "serviceSettings": {"workspaceId" :"5e2b52ac-51eb-4cb2-b434-94bb0d39b904", "sharedKey" :"qQgUq1MVDRc8WYYn6zUVOVtaLE/+vmu5G6Ek9qfD2odna+7v5Vb0bF4UxYSHN3MLj6hGjOoigYErjeECXWvkhQ==", "logType" : "GZevent", "requireValidSslCertificate" : false, "url" :"https://5e2b52ac-51eb-4cb2-b434-94bb0d39b904.ods.opinsights.azure.com/api/logs?api-version=2016-04-01"}, "subscribeToEventTypes": "subscribeToEventTypes": { "modules": true, "sva": true, "registration": true, "supa-update-status": true, "av": true, "aph": true, "fw": true, "avc": true, "uc": true, "dp": true, "sva-load": true, "task-status": true, "exchange-malware": true, "network-sandboxing": true, "adcloud": true, "exchange-user-credentials": true, "endpoint-moved-out": true, "endpoint-moved-in": true, "troubleshooting-activity": true, "uninstall": true, "install": true, "hwid-change": true, "new-incident": true, "antiexploit": true, "network-monitor": true, "ransomware-mitigation": true, "security-container-update-available": true, "hd": true, "new-extended-incident": true, "partner-changed": true, "integrations-hub-status": true}}, "jsonrpc": "2.0", "method":"setPushEventSettings", "id": "1"}'

      注意

      GravityZone 在重新加载事件推送服务设置后,GravityZone开始向Azure发送事件。此操作每10分钟执行一次。

      若不想接收特定模块的事件,请从命令中移除该模块。例如,若不想接收Exchange模块的事件,请删除 "exchange-malware":true, 这段命令。

      注意

      有关所有关联事件的详细信息,请参阅 此知识库文章 .

    返回结果应类似: 

    {"id":"1","jsonrpc":"2.0","result":true}
本节内容 :