Microsoft Sentinel için Illumio SaaS (Azure İşlevleri kullanarak) bağlayıcısı

Illumio bağlayıcısı, olayları Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, AWS S3 demetinden denetlenebilir ve akış olaylarını alma olanağı sağlar.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlayıcı öznitelikleri

Sorgu örnekleri

Denetlenebilir olaylar örneği

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Akış özetleri örneği

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Önkoşullar

Illumio SaaS ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
• SQS ve AWS S3 hesabı kimlik bilgileri/izinleri: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL gereklidir. Veri çekme hakkında daha fazla bilgi edinmek için belgelere bakın. Illumio tarafından sağlanan s3 demeti kullanıyorsanız Illumio desteğine başvurun. İsteğiniz üzerine aws S3 demet adını, AWS SQS url'sini ve bunlara erişmek için AWS kimlik bilgilerini sağlayacaktır.
• Illumio API anahtarı ve gizli dizi: ILLUMIO_API_KEY, bir çalışma kitabının SaaS PCE'ye bağlantı kurması ve api yanıtlarını getirmesi için ILLUMIO_API_SECRET gereklidir.

Satıcı yükleme yönergeleri

(İsteğe Bağlı Adım) API yetkilendirme anahtarlarını veya belirteçlerini Azure Key Vault'ta güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Önkoşullar

1. AWS SQS'nin akışın ve denetlenebilir olay günlüklerinin çekileceği s3 demeti için yapılandırıldığından emin olun. Illumio demet sağlarsa lütfen sqs URL'si, s3 demet adı ve aws kimlik bilgileri için Illumio desteğine başvurun.
2. AAD uygulamasını kaydetme - DCR 'nin (Veri toplama kuralı) log analytics'e veri almak için kimlik doğrulaması yapması için Entra uygulamasını kullanmanız gerekir. 1. AAD Kiracı Kimliği, AAD İstemci Kimliği ve AAD İstemci Gizli Anahtarı'nı almak için buradaki yönergeleri (1-5 arası adımlar) izleyin.
3. Log Analytics çalışma alanı oluşturduğunuzdan emin olun. Dağıtıldığı adı ve bölgeyi not edin.

Dağıtım

Aşağıdaki seçeneklerden yaklaşımlardan birini seçin. Azure kaynaklarını dağıtmak için aşağıdaki ARM şablonunu kullanın veya işlev uygulamasını el ile dağıtın.

1. Azure Resource Manager (ARM) Şablonu

ARM Tempate kullanarak Azure kaynaklarının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

   

2. Microsoft Sentinel Çalışma Alanı, AWS kimlik bilgileri, Azure AD Uygulaması ayrıntıları ve alma yapılandırmaları gibi gerekli ayrıntıları sağlayın

NOT: İşlev uygulamasının ve ilişkili kaynakların dağıtımı için yeni bir Kaynak Grubu oluşturmanız önerilir. 3. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 4. Dağıtmak için Satın Al'a tıklayın.

2. Ölçeklendirmeyi işlemek için ek işlev uygulamaları dağıtma

ARM Tempate kullanarak ek işlev uygulamalarının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

   

2. Azure İşlevleri El ile Dağıtımı

Visual Studio Code aracılığıyla dağıtım.

1. İşlev Uygulaması Dağıtma

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VSCode kullanarak Azure İşlevleri uygulamasını dağıtmak için işlev uygulaması el ile dağıtım yönergelerini izleyin.
3. İşlev uygulamasının başarıyla dağıtılmasından sonra, bunu yapılandırmak için sonraki adımları izleyin.

2. İşlev Uygulamasını Yapılandırma

1. Gerekli tüm ortam değişkenlerini ayarlamak için belgeleri izleyin ve Kaydet'e tıklayın. Ayarlar kaydedildikten sonra işlev uygulamasını yeniden başlattığınızdan emin olun.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.