你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 SailPoint IdentityNow(使用 Azure 函数)连接器

SailPoint IdentityNow 数据连接器提供通过 REST API 将 [SailPoint IdentityNow] 搜索事件引入 Microsoft Sentinel 的功能。 该连接器使客户能够从其 IdentityNow 租户中提取审核信息。 它旨在更轻松地将 IdentityNow 用户活动和治理事件引入 Microsoft Sentinel,以改进安全事件和事件监视解决方案的见解。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
应用程序设置 TENANT_ID
SHARED_KEY
LIMIT
GRANT_TYPE
CUSTOMER_ID
CLIENT_ID
CLIENT_SECRET
AZURE_STORAGE_ACCESS_KEY
AZURE_STORAGE_ACCOUNT_NAME
AzureWebJobsStorage
logAnalyticsUri(可选)
Azure 函数应用代码 https://aka.ms/sentinel-sailpointidentitynow-functionapp
Log Analytics 表 SailPointIDN_Events_CL
SailPointIDN_Triggers_CL
数据收集规则支持 目前不支持
支持的服务 SailPoint

查询示例

SailPointIDN 搜索事件 - 所有事件

SailPointIDN_Events_CL

| sort by TimeGenerated desc

SailPointIDN 触发器 - 所有触发器

SailPointIDN_Triggers_CL

| sort by TimeGenerated desc

先决条件

若要与 SailPoint IdentityNow 集成(使用 Azure 函数),请确保具备:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • SailPoint IdentityNow API 身份验证凭据:身份验证需要 TENANT_ID、CLIENT_ID 和 CLIENT_SECRET。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 SailPoint IdentityNow REST API,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - SailPoint IdentityNow API 的配置步骤

按照说明获取凭据。

步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:在部署 SailPoint IdentityNow 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署 SailPoint IdentityNow 数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

注意:在同一资源组内,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入其他信息并部署。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明,使用 Azure Functions 手动部署 SailPoint IdentityNow 数据连接器(通过 Visual Studio Code 进行部署)。

1. 部署函数应用

注意:需要为 Azure 函数开发准备 VS 代码

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。

  5. 根据提示提供以下信息:

    a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择订阅:选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)

    d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 searcheventXXXXX)。

    e. 选择运行时:选择 Python 3.9。

    f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域

  6. 将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。

  7. 转到 Azure 门户,获取函数应用配置。

2. 配置函数应用

  1. 在函数应用中选择“函数应用名称”,然后选择“配置”。
  2. 在“应用程序设置”选项卡中,选择“新建应用程序设置”****。
  3. 单独添加以下每个应用程序设置,并具有各自的字符串值(区分大小写):TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri(可选)
  • 使用 logAnalyticsUri 替代专用云的 Log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us。 3. 输入所有应用程序设置后,单击“保存”。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案