跳至主内容

集成 GravityZone 与Azure Sentinel

要建立Azure Sentinel与 GravityZone 之间的连接,请按以下步骤操作:

  1. 登录Microsoft Azure门户。

  2. 在Microsoft Azure Sentinel中创建新的Log Analytics工作区用于接收 GravityZone 告警。

  3. 复制并保存新创建工作区的 工作区ID 主密钥

    注意

    可从以下路径获取该信息: Microsoft Azure > Log Analytics工作区 > 代理管理 > 设置 .

    199857_4.png

  4. 在GravityZone控制中心启用事件推送API:

    1. 登录 GravityZone 控制中心 .

    2. 进入 我的账户 .

    3. API密钥 区域点击 添加 .

    4. 勾选 事件推送服务API 复选框并点击 保存 。新生成的密钥将显示在API密钥表中。

      14099_1.png

    5. 点击 保存 以保存 我的账户 页面中的更改。

  5. 手动启用Azure集成:

    1. 通过Linux或Mac终端模拟器获取配置事件推送服务所需信息:

      • GravityZone API网址

        您可在 我的账户 > 控制中心 API

        199857_6.png

      • 在GravityZone中生成的API密钥的授权请求头 GravityZone .

        请求头值为Basic base64编码。获取授权请求头需运行 echo 命令后接带冒号(":")的API密钥。 

        > echo -n '604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:' | base64 -w 0

        结果应类似如下: 

        NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=

      • Azure网址

        您可在此 处查找 ,其格式应类似如下(需编辑的字段已加下划线): https://客户ID.ods.opinsights.azure.com/api/logs?api-version=2016-04-01

        199857_5.png

        注意

        CustomerID 替换为 工作区ID (该值需从步骤3获取)。

      • HTTP事件收集器令牌。

      • 步骤3中获取的工作区ID(用于"workspaceId")和主密钥(用于"sharedKey")配置项。

    2. 运行以下命令(需编辑的配置项已加下划线): 

      curl -k -X POST "https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push"
-H "authorization: BasicNjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo="-H "cache-control: no-cache"
-H "content-type: application/json"
-d '{"params": {"status": 1, "serviceType": "azureSentinel", "serviceSettings": {"workspaceId" :"5e2b52ac-51eb-4cb2-b434-94bb0d39b904", "sharedKey" :"qQgUq1MVDRc8WYYn6zUVOVtaLE/+vmu5G6Ek9qfD2odna+7v5Vb0bF4UxYSHN3MLj6hGjOoigYErjeECXWvkhQ==", "logType" : "GZevent", "requireValidSslCertificate" : false, "url" :"https://5e2b52ac-51eb-4cb2-b434-94bb0d39b904.ods.opinsights.azure.com/api/logs?api-version=2016-04-01"}, "subscribeToEventTypes": "subscribeToEventTypes": { "modules": true, "sva": true, "registration": true, "supa-update-status": true, "av": true, "aph": true, "fw": true, "avc": true, "uc": true, "dp": true, "sva-load": true, "task-status": true, "exchange-malware": true, "network-sandboxing": true, "adcloud": true, "exchange-user-credentials": true, "endpoint-moved-out": true, "endpoint-moved-in": true, "troubleshooting-activity": true, "uninstall": true, "install": true, "hwid-change": true, "new-incident": true, "antiexploit": true, "network-monitor": true, "ransomware-mitigation": true, "security-container-update-available": true, "hd": true, "new-extended-incident": true, "partner-changed": true, "integrations-hub-status": true}}, "jsonrpc": "2.0", "method":"setPushEventSettings", "id": "1"}'

      注意

      GravityZone 将在事件推送服务配置重新加载后开始向Azure发送事件(该过程每10分钟自动执行一次)。

      若需排除特定模块的事件,请从命令中删除对应项。例如:若不需要接收Exchange模块事件,请移除 "exchange-malware":true, 配置项。

      注意

      有关所有关联事件的更多信息,请参阅 此知识库文章 .

    返回结果应类似于: 

    {"id":"1","jsonrpc":"2.0","result":true}
本节 :