问题标签 [azure-sentinel]

我正在评估 Azure Sentinel 预览版。我连接了一个 Office 365 订阅（我是它的管理员）并测试了一些登录。无论我做什么，我都没有在 Azure 哨兵中看到任何邮箱登录日志。

我错过了什么？

我们正在使用多个数据源实施 Sentinel，执行 RBAC 的最佳方法是什么？

我目前正在设置 Sentinel POC，在 Sentinel 中您有基本上是逻辑应用程序的剧本，它与安全中心的剧本相同。

我需要知道目标订阅需要哪些权限才能自动修复警报，例如隔离 VM、停止 VM 等。

我们的 Sentinel 将在有 100 个订阅的租户中拥有自己的订阅。

我正在将通用 CEF 日志转发到 Azure Sentinel，并且遇到了类似的问题，如此处所述：

https://github.com/MicrosoftDocs/azure-docs/issues/28909

我相信我已经正确配置了 rsyslog，当我在端口 514 上监听时，我看到了 CEF 日志，但是 Azure 代理没有看到任何访问其监听端口的东西。当我重新启动 rsyslog 时，我确实在 Azure 代理上看到了本地 syslog 流量。

我关注了以下文章：

https://docs.microsoft.com/en-us/azure/sentinel/connect-common-event-format

用rsyslog转发配置如下：

假设它是设施级别，但是我无法在 syslog 客户端上更改它，我添加了几个额外的设施，例如 syslog、user 但无济于事。

有人知道解决方法吗？

我是 Azure 的新手，一直在使用 Azure Monitor 和 AZ Sentinel 进行日志记录和分析部分的工作。我有审核日志从托管在 AZ VM 中的第三方供应商安全设备流向 Syslog VM。数据格式为 XML。

Syslog VM 作为数据源连接器连接到 Sentinel SIEM。我看到数据正在流入 SIEM。

但是如何进行数据转换？

SIEM能否理解xml？

提前致谢

阿鲁尔

有没有办法实现一些提示或弹出窗口，用户可以在其中插入一些输入值，然后再从 Azure Sentinel 剧本调用 3rd 方 API 调用？第三方 API 调用通过 Azure 逻辑应用集成。

我正在尝试使用基于 Azure sentinel 推荐的将 IOC 摄取的威胁情报源集成到 Sentinel 实例的 Microsoft 图形 API 威胁指标 API。我在 linux curl 中执行以下步骤来测试功能：

使用以下命令从 Microsoft 获取 OAuth 令牌：

使用接收到的不记名令牌调用以下 API：curl -X GET -H "Authorization: Bearer [access token]" https://graph.microsoft.com/beta/security/tiIndicators

我收到以下提到的错误：

有人知道如何使用它吗？主要动机是使用图形 API POST 查询在 Azure Sentinel 中插入威胁指标

我正在尝试通过使用 github 上 azure 的默认文档将威胁指标从我的 MISP 实例推送到 azure sentinel：https ://github.com/microsoftgraph/security-api-solutions/tree/master/Samples/MISP

我按照文档执行了这些步骤，但是 python3 script.py 给了我以下错误：

这是调用 RequestManager.py 中的内置方法，用于将指标发布到 Graph API

我正面临着在 Azure 中使用逻辑 APP 执行 for 循环的问题。显然完整的剧本执行成功并且功能上它的工作良好。但是，我收到此错误，因为它将上一步中的“body”参数作为输入，仅此而已。正文是长 json，因此不应该是 foreach 循环的正确输入。我尝试添加帐户或 IP 地址作为输入，但也失败了。

输入

输出

请在这里帮忙

我正在查看Microsoft Security Graph 的警报 API，您似乎无法通过 API 创建新警报？我想知道是否可以通过编程方式在 Azure Sentinel 中创建新警报？