Microsoft Sentinel¶
Você pode configurar Wallarm para registrar eventos no Microsoft Azure Sentinel.
Configurando a integração¶
Na interface do usuário do Microsoft:
-
Prossiga para as configurações do Workspace do Sentinel → Agentes → Instruções do agente de análise de log e copie os seguintes dados:
- ID do Workspace
- Chave primária
Na interface do usuário do Console Wallarm:
-
Abra a seção Integrações.
-
Clique no bloco Microsoft Sentinel ou clique no botão Adicionar integração e escolha Microsoft Sentinel.
-
Digite um nome para a integração.
-
Cole o ID do Workspace e a Chave Primária copiados.
-
Opcionalmente, especifique a tabela do Azure Sentinel para eventos do Wallarm. Se ela não existir, será criada automaticamente.
Sem um nome, tabelas separadas são criadas para cada tipo de evento.
-
Escolha os tipos de eventos para acionar notificações.
Detalhes sobre eventos disponíveis:
-
Hits detectados, com exceção de:
- Hits experimentais detectados com base na expressão regular personalizada. Hits não experimentais acionam notificações.
- Hits não salvos na amostra.
-
Relacionados ao sistema:
- Mudanças de usuário (novo criado, excluído, mudança de função)
- Mudanças de integração (desativada, excluída)
- Mudanças de aplicação (nova criada, excluída, mudança de nome)
- Vulnerabilidades detectadas, todas por padrão ou apenas para o(s) nível(is) de risco selecionado(s) - alto, médio ou baixo.
- Regras e gatilhos alterados (criação, atualização ou exclusão da regra ou gatilho)
- Escopo (ativos expostos) alterado: atualizações em hosts, serviços e domínios
- De hora em hora, você pode receber uma notificação com o número de solicitações processadas durante a hora anterior
-
-
Clique em Testar integração para verificar a correção da configuração, a disponibilidade do Wallarm Cloud e o formato da notificação.
Você pode encontrar os logs do Wallarm em seu Microsoft Workspace → Logs → Log Personalizado, por exemplo, o log de teste
create_user_CLno Microsoft Sentinel aparece assim:
Atraso no envio de dados para novos espaços de trabalho
Criar um espaço de trabalho no Sentinel para integração com Wallarm pode levar até 1 hora para todos os serviços funcionarem. Este atraso pode resultar em erros durante os testes e uso da integração. Se todas as configurações da integração estiverem corretas, mas os erros continuarem a aparecer, tente novamente após 1 hora.
-
Clique em Adicionar integração.
Tipos de logs do Wallarm¶
Em geral, o Wallarm pode registrar no Sentinel os registros dos seguintes tipos:
| Evento | Tipo de log Sentinel |
|---|---|
| Nova hit | new_hits_CL |
| Novo usuário em uma conta da empresa | create_user_CL |
| Exclusão de um usuário de uma conta da empresa | delete_user_CL |
| Atualização de função do usuário | update_user_CL |
| Exclusão de uma integração | delete_integration_CL |
| Desabilitando uma integração | disable_integration_CL ou integration_broken_CL se foi desativado devido a configurações incorretas |
| Nova aplicação | create_application_CL |
| Exclusão de uma aplicação | delete_application_CL |
| Atualização do nome da aplicação | update_application_CL |
| Nova vulnerabilidade de alto risco | vuln_high_CL |
| Nova vulnerabilidade de médio risco | vuln_medium_CL |
| Nova vulnerabilidade de baixo risco | vuln_low_CL |
| Nova regra | rule_create_CL |
| Exclusão de uma regra | rule_delete_CL |
| Alterações de uma regra existente | rule_update_CL |
| Novo gatilho | trigger_create_CL |
| Exclusão de um gatilho | trigger_delete_CL |
| Alterações de um gatilho existente | trigger_update_CL |
| Atualizações em hosts, serviços e domínios em ativos expostos | scope_object_CL |
| Alterações no inventário da API (se o gatilho correspondente estiver ativo) | api_structure_changed_CL |
| A quantidade de ataques excede o limite (se o gatilho correspondente estiver ativo) | attacks_exceeded_CL |
| Novo IP na lista negra (se o gatilho correspondente estiver ativo) | ip_blocked_CL |
Desativando e excluindo uma integração¶
Você pode excluir ou desativar temporariamente a integração. Embora a exclusão interrompa o envio de notificações e exclua completamente todas as configurações, a desativação apenas interrompe o envio de notificações que você pode reativar a qualquer momento com as mesmas configurações.
Se para a integração os eventos Relacionados ao sistema forem selecionados para disparar notificações, a Wallarm notificará sobre ambas as ações.
Indisponibilidade do sistema e parâmetros incorretos de integração¶
Notificações ao sistema são enviadas por meio de solicitações. Se o sistema estiver indisponível ou os parâmetros de integração estiverem configurados incorretamente, o código de erro é retornado na resposta à solicitação.
Se o sistema responder à solicitação de Wallarm com qualquer código diferente de 2xx, Wallarm reenvia a solicitação com o intervalo até que o código 2xx seja recebido:
-
Os intervalos do primeiro ciclo: 1, 3, 5, 10, 10 segundos
-
Os intervalos do segundo ciclo: 0, 1, 3, 5, 30 segundos
-
Os intervalos do terceiro ciclo: 1, 1, 3, 5, 10, 30 minutos
Se a porcentagem de solicitações mal sucedidas atingir 60% em 12 horas, a integração é automaticamente desabilitada. Se você receber notificações do sistema, você receberá uma mensagem sobre a integração ser automaticamente desabilitada.