W tym artykule opiszemy jak zintegrować Bitdefender GravityZone w chmurze z Azure Sentinel.
Integracja GravityZone Cloud z Azure Sentinel 1. Zaloguj się do portalu Microsoft Azure.
2. Utwórz nowy Log Analytics Workspace w Microsoft Azure Sentinel.
3. Skopiuj i zapisz Workspace ID iPrimary Key .
4. Włącz Event Push API w GravityZone Control Center.
a. Zaloguj się do GravityZone Control Center.
b. Przejdź do Moje Konto .
c. Kliknij Dodaj w sekcji Klucze API .
d. Wybierz Event Push Service i kliknij Wygeneruj . Klucz API wyświetli się w nowym oknie – zapisz go w bezpiecznym miejscu.
e. Kliknij Zapisz .
5. Ręcznie włącz integrację z Azure.
a. Pozyskaj informacje niezbędne do skonfigurowania Event Push Service z terminala na Linuxie lub Macu.
Znajdziesz go w zakładce Moje Konto > Control Center API .
Nagłówek autoryzacyjny klucza API wygenerowane w GravityZone. Użyj komendy z kluczem po dwukropku “:”
> echo –n '604821e87e4c7de3aa15d0e6a97f5ab362281dbf0763746671da2caf4b5cccd1:' | base64 -w 0 Wynik powinien wyglądać mniej więcej tak:
NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo= Znajdziesz go tutaj i powinien wyglądać podobnie jak poniżej:
https://CustomerID.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
HTTP Event Collector Token Workspace ID i Primary Key b. Wykonaj poniższą komendę (ustawienia, które musisz edytować są podkreślone):
curl -k -X POST " https://cloudgz.gravityzone.bitdefender.com/api /v1.0/jsonrpc/push"
-H "authorization: Basic NjA0ODIxZTg3ZTRjN2RlM2FhMTVkMGU2YTk3ZjVhYjM2MjI4MWRiZjA3NjM3NDY2NzFkYTJjYWY0YjVjY2NkMTo="
-H "cache-control: no-cache"
-H "content-type: application/json"
-d '{"params" : {"status" : 1 , "serviceType" : "azureSentinel" , "serviceSettings" : {"workspaceId" : "5e2b52ac-51eb-4cb2-b434-94bb0d39b904" , "sharedKey" : "qQgUq1MVDRc8WYYn6zUVOVtaLE/+vmu5G6Ek9qfD2odna+7v5Vb0bF4UxYSHN3MLj6hGjOoigYErjeECXWvkhQ==" , "logType" : "GZevent" , "requireValidSslCertificate" : false , "url" : "https://5e2b52ac-51eb-4cb2-b434-94bb0d39b904.ods.opinsights.azure.com/api/logs?api-version=2016-04-01" }, "subscribeToEventTypes" : {"hwid-change" : true ,"modules" : true ,"sva" : true ,"registration" : true ,"supa-update-status" : true ,"av" : true ,"aph" : true ,"fw" : true ,"avc" : true ,"uc" : true ,"dp" : true ,"device-control" : true ,"sva-load" : true ,"task-status" : true ,"exchange-malware" : true ,"network-sandboxing" : true ,"malware-outbreak" : true ,"adcloud" : true ,"exchange-user-credentials" : true ,"exchange-organization-info" : true ,"hd" : true ,"antiexploit" : true }}, "jsonrpc" : "2.0" , "method" :"setPushEventSettings" , "id" : "1" }' Wynik powinien wyglądać podobnie do:
{"id" :"1" ,"jsonrpc" :"2.0" ,"result" :true }
Źródło: https://www.bitdefender.com/business/support/en/77209-204098-azure-sentinel.html