Connettore Luminar IOCs e credenziali perse (tramite Funzioni di Azure) per Microsoft Sentinel

Il connettore Luminar IOCs e Leaked Credentials consente l'integrazione dei dati IOC basati su intelligence e dei record rilevati dai clienti identificati da Luminar.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-CognyteLuminar-functionapp
Tabelle Log Analytics ThreatIntelligenceIndicator
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Cognyte Luminar

Esempi di query

Cognyte Luminar Based Indicators Events - Tutti gli indicatori Cognyte Luminar in Microsoft Sentinel Threat Intelligence.

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

Eventi degli indicatori basati su Non Cognyte Luminar - Tutti gli indicatori non Cognyte Luminar in Intelligence per le minacce di Microsoft Sentinel.

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con IOCs Luminar e le credenziali perse (usando Funzioni di Azure) assicurarsi di avere:

  • Sottoscrizione di Azure: la sottoscrizione di Azure con ruolo proprietario è necessaria per registrare un'applicazione in Azure Active Directory() e assegnare il ruolo di collaboratore all'app nel gruppo di risorse.
  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Credenziali/autorizzazioni dell'API REST: ID client Luminar, Segreto client Luminar e ID account Luminar sono necessari.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API Cognyte Luminar per eseguire il pull di IOC Luminar e delle credenziali perse in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati e l'archiviazione dei dati in costi Archiviazione BLOB di Azure. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure e Archiviazione BLOB di Azure pagina dei prezzi.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati usando un modello di ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la Sottoscrizione preferita, il Gruppo di risorse e la Località.

  3. Immettere l'ID applicazione, l'ID tenant, il segreto client, l'ID client dell'API Luminar, l'ID account API Luminar, il segreto client dell'API Luminar, il limite, timeInterval e la distribuzione.

  4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.

  5. Fare clic su Acquista per effettuare la distribuzione.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati Cognyte Luminar con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'App per le funzioni

NOTA: sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.

  1. Scaricare il file App per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare VS Code. Scegliere File nel menu principale quindi selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non si ha ancora effettuato l'accesso, selezionare l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure. Se si ha già effettuato l'accesso, andare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Seleziona cartella: scegliere una cartella dall'area di lavoro o selezionarne una che contenga l'app per le funzioni.

    b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova App per le funzioni in Azure (non scegliere l'opzione Avanzata)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure. (ad esempio CognyteLuminarXXX).

    e. Selezionare un runtime: scegliere Python 3.11.

    f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. La distribuzione avrà inizio. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Andare al portale di Azure per la configurazione dell'App per le funzioni.

2. Configurare l'App per le funzioni

  1. Nell'App per le funzioni selezionare Nome App per le funzioni seguito da Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (distinzione tra maiuscole e minuscole): ID client id client dell'ID client dell'API Luminar Id dell'API Luminar - Usare logAnalyticsUri per eseguire l'override dell'endpoint API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us
  4. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.