与 Microsoft Sentinel 通知程序集成 | 集成 | Red Hat Advanced Cluster Security for Kubernetes 4.6

查看日志分析以检测威胁

Microsoft Sentinel 是一款安全信息和事件管理 (SIEM) 解决方案，它会对 Red Hat Advanced Cluster Security for Kubernetes (RHACS) 警报和审计日志采取行动。

查看日志分析以检测威胁

通过创建 Microsoft Sentinel 集成，您可以查看日志分析以检测威胁。

先决条件

您已在 Microsoft Azure 上创建了数据收集规则、日志分析工作区和服务主体。
您已为服务主体的身份验证配置了客户端密钥或客户端证书。
您已使用 JSON 格式的 `TimeGenerated` 和 `msg` 字段创建了日志分析架构。

您需要为审计日志和警报创建单独的日志分析表，并且两个数据源都使用相同的架构。
- 要创建架构，请将以下内容上传到 Microsoft Sentinel
  示例 JSON
  { "TimeGenerated": "2024-09-03T10:56:58.5010069Z", (1) "msg": { (2) "id": "1abe30d1-fa3a-xxxx-xxxx-781f0a12228a", (3) "policy" : {} } }
  1 警报的时间戳。
  
  2 包含消息详细信息。
  
  3 消息的有效负载，无论是警报还是审计日志。

步骤

在 RHACS 门户中，点击**平台配置** → **集成**。
向下滚动到**通知器集成**部分，然后点击**Microsoft Sentinel**。
要创建新的集成，请点击**新建集成**。
在**创建集成**页面中，提供以下信息
- **集成名称**: 指定集成的名称。
- **日志摄取端点**: 输入数据收集端点。您可以在 Microsoft Azure 门户中找到端点。
  
  更多信息，请参阅 Azure Monitor 中的数据收集规则 (DCR)（Microsoft Azure 文档）。
- **目录租户 ID**: 输入唯一标识您在 Microsoft 云基础结构中 Azure Active Directory (AAD) 的租户 ID。您可以在 Microsoft Azure 门户中找到租户 ID。
  
  更多信息，请参阅在 Azure Active Directory B2C 中查找租户名称和租户 ID（Microsoft Azure 文档）。
- **应用程序客户端 ID**: 输入唯一标识已注册在您的 AAD 中且需要访问资源的特定应用程序的客户端 ID。您可以在为已创建的服务主体创建的 Microsoft Entra 门户中找到客户端 ID。
  
  更多信息，请参见注册应用程序（Microsoft Azure 文档）。
- 选择合适的身份验证方法
  - 如果要使用密钥，请输入密钥值。您可以在 Microsoft Azure 门户中找到密钥。
  - 如果要使用客户端证书，请输入客户端证书和私钥。您可以在 Microsoft Azure 门户中找到证书 ID 和私钥。
    
    更多信息，请参见Azure Active Directory B2C 的全新应用注册体验（Microsoft Azure 文档）。
- 可选：选择合适的方法来配置数据收集规则配置
  - 如果您想启用警报数据收集规则配置，请选择启用警报 DCR 复选框。
    
    要创建警报数据收集规则，请输入警报数据收集规则流名称和 ID。您可以在 Microsoft Azure 门户中找到流名称和 ID。
  - 如果您想启用审核数据收集规则配置，请选择启用审核日志 DCR 复选框。
    
    要创建审核数据收集规则，请输入流名称和 ID。您可以在 Microsoft Azure 门户中找到流名称和 ID。
    
    更多信息，请参阅 Azure Monitor 中的数据收集规则 (DCR)（Microsoft Azure 文档）。
可选：要测试新的集成，请单击测试。
要保存新的集成，请单击保存。

验证

在 RHACS 门户中，点击**平台配置** → **集成**。
向下滚动到**通知器集成**部分，然后点击**Microsoft Sentinel**。
在集成 Microsoft Sentinel 页面中，验证新的集成是否已创建。
验证消息是否接收日志分析工作区中的正确日志表。

1	警报的时间戳。
2	包含消息详细信息。
3	消息的有效负载，无论是警报还是审计日志。