Konektor Illumio SaaS (pomocí Azure Functions) pro Microsoft Sentinel
Konektor Illumio poskytuje možnost ingestovat události do Služby Microsoft Sentinel. Konektor poskytuje možnost ingestovat auditovatelné a tok událostí z kbelíku AWS S3.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Kód aplikace funkcí Azure | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
| Tabulky Log Analytics | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Illumio |
Ukázky dotazů
Ukázka auditovatelných událostí
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Ukázka souhrnů toků
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Požadavky
Pokud chcete integrovat s Illumio SaaS (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje/oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Další informace o načítání dat najdete v dokumentaci. Pokud používáte kbelík s3 poskytovaný společností Illumio, obraťte se na podporu společnosti Illumio. Na vaši žádost vám poskytne název kontejneru AWS S3, adresu URL AWS SQS a přihlašovací údaje AWS pro přístup k nim.
- Klíč a tajný klíč rozhraní API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET se vyžaduje pro sešit, aby se připojení k saaS PCE a načítání odpovědí rozhraní API.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k AWS SQS/ S3 k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Požadavky
- Ujistěte se, že je AWS SQS nakonfigurovaný pro kontejner s3, ze kterého se budou natahovat protokoly událostí toku a auditovatelných událostí. V případě, illumio poskytuje kbelík, kontaktujte prosím podporu Illumio pro adresu URL sqs, název kontejneru s3 a přihlašovací údaje aws.
- Zaregistrujte aplikaci AAD – Pro DCR (pravidlo shromažďování dat) k authentiate ingestovat data do log analytics, musíte použít aplikaci Entra. 1. Postupujte podle zde uvedených pokynů (kroky 1 až 5) a získejte ID tenanta AAD, ID klienta AAD a tajný klíč klienta AAD.
- Ujistěte se, že jste vytvořili pracovní prostor služby Log Analytics. Poznamenejte si název a oblast, ve které byl nasazený.
Nasazení
Vyberte jeden z přístupů z následujících možností. K nasazení prostředků Azure nebo ručnímu nasazení aplikace funkcí použijte následující šablonu ARM.
- Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení prostředků Azure pomocí tempate ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Zadejte požadované podrobnosti, jako jsou pracovní prostor Služby Microsoft Sentinel, přihlašovací údaje AWS, podrobnosti o aplikaci Azure AD a konfigurace příjmu dat.
POZNÁMKA: Doporučujeme vytvořit novou skupinu prostředků pro nasazení aplikace funkcí a přidružených prostředků. 3. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 4. Kliknutím na tlačítko Koupit nasadíte.
- Nasazení dalších aplikací funkcí pro zpracování škálování
Tuto metodu použijte pro automatizované nasazení dalších aplikací funkcí pomocí tempate ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Ruční nasazení služby Azure Functions
Nasazení prostřednictvím editoru Visual Studio Code
1. Nasazení aplikace funkcí
- Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.
- Postupujte podle pokynů k ručnímu nasazení aplikace funkcí a nasaďte aplikaci Azure Functions pomocí VSCode.
- Po úspěšném nasazení aplikace funkcí postupujte podle dalších kroků pro její konfiguraci.
2. Konfigurace aplikace funkcí
- Podle dokumentace nastavte všechny požadované proměnné prostředí a klikněte na Uložit. Po uložení nastavení se ujistěte, že aplikaci funkcí restartujete.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.