Соединитель Lookout (с помощью функции Azure) для Microsoft Sentinel
Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | Lookout_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Смотровой |
Примеры запросов
События Lookout — все действия.
Lookout_CL
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с Lookout (с помощью функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения API для мобильных рисков: EnterpriseName и ApiKey требуются для API мобильных рисков. Дополнительные сведения об API см. в документации. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Инструкции по установке поставщика
Примечание.
Этот соединитель данных Lookout использует Функции Azure для подключения к API мобильных рисков для извлечения событий в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать как ожидалось LookoutEvents , развернутая с помощью решения Microsoft Sentinel.
ШАГ 1. Действия по настройке ДЛЯ API мобильных рисков
Следуйте инструкциям , чтобы получить учетные данные.
ШАГ 2. Следуйте приведенным ниже упоминание инструкциям по развертыванию соединителя данных Lookout и связанной функции Azure
ВАЖНО. Прежде чем начать развертывание соединителя данных Lookout , убедитесь, что идентификатор рабочей области и ключ рабочей области готовы (можно скопировать из следующего раздела).
Ключ рабочей области
Шаблон Azure Resource Manager (ARM)
Выполните следующие действия для автоматического развертывания соединителя данных Lookout с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и регион.
ПРИМЕЧАНИЕ. В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите имя функции, идентификатор рабочей области, ключ рабочей области, имя предприятия и ключ API и развертывание. 4. Нажмите кнопку " Создать ", чтобы развернуть.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.