Jak zintegrować Bitdefender GravityZone w chmurze z Azure Sentinel

W tym artykule opiszemy jak zintegrować Bitdefender GravityZone w chmurze z Azure Sentinel.

Integracja GravityZone Cloud z Azure Sentinel

1. Zaloguj się do portalu Microsoft Azure.

2. Utwórz nowy Log Analytics Workspace w Microsoft Azure Sentinel. 

3. Skopiuj i zapisz Workspace ID iPrimary Key.

4. Włącz Event Push API w GravityZone Control Center.

a. Zaloguj się do GravityZone Control Center.

b. Przejdź do Moje Konto.

c. Kliknij Dodaj w sekcji Klucze API.

d. Wybierz Event Push Service  i kliknij Wygeneruj. Klucz API wyświetli się w nowym oknie – zapisz go w bezpiecznym miejscu.

e. Kliknij Zapisz.

5. Ręcznie włącz integrację z Azure.

a. Pozyskaj informacje niezbędne do skonfigurowania Event Push Service z terminala na Linuxie lub Macu.

• GravityZone API URL.

Znajdziesz go w zakładce Moje Konto > Control Center API. 

• Nagłówek autoryzacyjny klucza API wygenerowane w GravityZone. 

Użyj komendy z kluczem po dwukropku “:”

> echo –n '604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:' | base64 -w 0

Wynik powinien wyglądać mniej więcej tak:

NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo=

• Azure URL

Znajdziesz go tutaj i powinien wyglądać podobnie jak poniżej:

https://CustomerID.ods.opinsights.azure.com/api/logs?api-version=2016-04-01

• HTTP Event Collector Token
• Workspace ID i Primary Key

b. Wykonaj poniższą komendę (ustawienia, które musisz edytować są podkreślone):

curl -k -X POST "https://cloudgz.gravityzone.bitdefender.com/api/v1.0/jsonrpc/push"
-H "authorization: Basic NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo="
-H "cache-control: no-cache"
-H "content-type: application/json"
-d '{"params": {"status": 1, "serviceType": "azureSentinel", "serviceSettings": {"workspaceId" : "5e2b52ac-51eb-4cb2-b434-94bb0d39b904", "sharedKey" : "qQgUq1MVDRc8WYYn6zUVOVtaLE/+vmu5G6Ek9qfD2odna+7v5Vb0bF4UxYSHN3MLj6hGjOoigYErjeECXWvkhQ==", "logType" : "GZevent", "requireValidSslCertificate" : false, "url" : "https://5e2b52ac-51eb-4cb2-b434-94bb0d39b904.ods.opinsights.azure.com/api/logs?api-version=2016-04-01"}, "subscribeToEventTypes": {"hwid-change": true,"modules": true,"sva": true,"registration": true,"supa-update-status": true,"av": true,"aph": true,"fw": true,"avc": true,"uc": true,"dp": true,"device-control": true,"sva-load": true,"task-status": true,"exchange-malware": true,"network-sandboxing": true,"malware-outbreak": true,"adcloud": true,"exchange-user-credentials": true,"exchange-organization-info": true,"hd": true,"antiexploit": true}}, "jsonrpc": "2.0", "method":"setPushEventSettings", "id": "1"}'

Wynik powinien wyglądać podobnie do:

{"id":"1","jsonrpc":"2.0","result":true}

Źródło: https://www.bitdefender.com/business/support/en/77209-204098-azure-sentinel.html