Conector Illumio SaaS (com o Azure Functions) para Microsoft Sentinel

O conector Illumio oferece a capacidade de ingerir eventos no Microsoft Sentinel. O conector fornece a capacidade de ingerir eventos auditáveis e de fluxo do bucket do AWS S3.

Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Código do aplicativo de funções do Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Tabela(s) do Log Analytics Illumio_Eventos_Auditáveis_CL
Eventos_de_Fluxo_de_Illumio_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Illumio

Exemplos de consulta

Amostra de eventos auditáveis

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Amostra de resumos de fluxo

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Pré-requisitos

Para integrar com Illumio SaaS (usando Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões da conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY e QUEUE_URL são necessárias. Confira a documentação para saber mais sobre a extração de dados. Caso esteja usando o bucket s3 fornecido pelo Illumio, entre em contato com o suporte do Illumio. A sua solicitação, eles fornecerão o nome do bucket do AWS S3, o URL do SQS do AWS e as credenciais do AWS para acessá-los.
  • Segredo e chave da API do Illumio: CHAVE_API_ILLUMIO, ILLUMIO_API_SEGREDO é necessário para que uma pasta de trabalho faça conexão com o PCE SaaS e obtenha respostas da API.

Instruções de instalação do fornecedor

Observação

Esse conector usa o Azure Functions para se conectar ao SQS/S3 do AWS para efetuar pull de logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa Opcional) Armazenar com segurança chaves de autorização de API ou tokens no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

Pré-requisitos

  1. Verifique se o SQS do AWS está configurado para o bucket s3 do qual os logs de eventos auditáveis e de fluxo serão extraídos. Caso o Illumio forneça bucket, entre em contato com o suporte do Illumio para obter o URL do SQS, o nome do bucket do S3 e as credenciais da AWS
  2. Registrar aplicativo do AAD – para que a DCR (regra de coleta de dados) seja autenticada para ingerir dados na análise de log, use o aplicativo Entra. 1. Siga as instruções aqui (etapas 1 a 5) para obter a ID de Locatário do AAD, a ID de Cliente do AAD e o Segredo do Cliente do AAD.
  3. Verifique se você criou um workspace do Log Analytics. Anote o nome e a região em que ele foi implantado.

Implantação

Escolha uma das abordagens das opções abaixo. Use o modelo do ARM abaixo para implantar recursos do Azure ou implantar o aplicativo de funções manualmente.

  1. Modelo do ARM (Azure Resource Manager)

Use esse método para implantação automatizada de recursos do Azure usando um Modelo do ARM.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Forneça os detalhes necessários, como o Workspace do Microsoft Sentinel, as credenciais da AWS, os detalhes do aplicativo Azure AD e as configurações de ingestão

NOTA: é recomendável criar um novo Grupo de Recursos para implantação de aplicativos de funções e recursos associados. 3. Marque a caixa de seleção Concordo com os termos e condições declarados acima. 4. Clique em Comprar para implantar.

  1. Implantar aplicativos de funções adicionais para lidar com a escala

Use esse método para implantação automatizada de aplicativos de funções adicionais usando um Modelo do ARM.

  1. Clique no botão Implantar no Azure abaixo.

    Implantar no Azure

  2. Implantação Manual do Azure Functions

Implantação por Visual Studio Code

1. Implantar um Aplicativo de Funções

  1. Baixe o arquivo do Aplicativo Azure Functions. Extraia o arquivo para seu computador de desenvolvimento local.
  2. Siga as instruções de implantação manual do aplicativo de funções para implantar o aplicativo do Azure Functions usando o VSCode.
  3. Após a implantação bem-sucedida do aplicativo de funções, siga as próximas etapas para configurá-lo.

2. Configurar o Aplicativo de Funções

  1. Siga a documentação para configurar todas as variáveis de ambiente necessárias e clique em Salvar. Certifique-se de reiniciar o aplicativo de funções depois que as configurações forem salvas.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.