Konektor Lookout Cloud Security (pomocí Azure Functions) pro Microsoft Sentinel
Tento konektor používá připojení Agari REST API k odesílání dat do Služby Microsoft Sentinel Log Analytics.
Atributy konektoru
Atribut konektoru | Popis |
---|---|
Kód aplikace Azure Functions | https://aka.ms/sentinel-Lookout-functionapp |
Tabulky Log Analytics | LookoutCloudSecurity_CL |
Podpora pravidel shromažďování dat | V současnosti není podporováno |
Podporováno | Rozhledna |
Ukázky dotazů
Všechny protokoly Lookout Cloud Security
LookoutCloudSecurity_CL
| sort by TimeGenerated desc
Požadavky
Pokud chcete integrovat službu Lookout Cloud Security pro Microsoft Sentinel (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k rozhraní Agari REST API k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Podrobné pokyny
Jako předpoklad této integrace musíte nejprve nakonfigurovat klienta rozhraní API v konzole pro správu lookoutu. V konzole pro správu můžete přidat jednoho nebo více klientů a nakonfigurovat příslušná oprávnění a akce pro každý z nich.
Název – název zadaný tomuto klientovi.
ID klienta – jedinečné ID zadané pro tohoto klienta.
Oprávnění – Oprávnění povolená pro tohoto klienta Oprávnění, která zkontrolujete, jsou ta, ke kterým má klient povolený přístup. Uvedené možnosti jsou Aktivita, Porušení, Anomálie, Přehledy a Profil.
Adresa URL služby – adresa URL použitá pro přístup k tomuto klientovi. Musí začínat https://
Autorizované IP adresy – platná IP adresa nebo adresy, které platí pro tohoto klienta.
Akce – akce, které můžete pro tohoto klienta provést. Klikněte na ikonu akce, kterou chcete provést. Úpravy informací o klientovi, zobrazení tajného klíče klienta nebo odstranění klienta
Přidání nového klienta rozhraní API:
Přejděte do okna Správa > klientů rozhraní ENTERPRISE Integration > API a klikněte na Tlačítko Nový.
Zadejte název (povinné) a popis (volitelné).
Zadejte ID klienta, které jste zadali.
V rozevíracím seznamu vyberte jedno nebo více oprávnění.
Zadejte jednu nebo více autorizovaných IP adres pro tohoto klienta. Jednotlivé adresy oddělte čárkou.
Klikněte na Uložit.
Po zobrazení výzvy zkopírujte řetězec tajného klíče klienta. Tyto informace (spolu s ID klienta) budete potřebovat k ověření brány rozhraní API.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také připojovací řetězec a název kontejneru ve službě Azure Blob Storage.
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tuto metodu použijte pro automatizované nasazení datového konektoru pomocí šablony ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte ID klienta Lookout, tajný klíč klienta Lookout, základní adresu URL služby Lookout, ID pracovního prostoru služby Microsoft Sentinel, sdílený klíč služby Microsoft Sentinel.
Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
Kliknutím na Koupit nasadíte.
Možnost 2 – Ruční nasazení služby Azure Functions
Pomocí následujících podrobných pokynů nasaďte datový konektor ručně se službou Azure Functions (nasazení přes Visual Studio Code).
1. Nasazení aplikace funkcí
POZNÁMKA: Budete muset připravit VS Code pro vývoj funkcí Azure.
Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.
Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.
Vyberte složku nejvyšší úrovně z extrahovaných souborů.
Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.
Podle pokynů na obrazovce zadejte tyto informace:
a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.
b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.
c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).
d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions.
e. Vyberte modul runtime: Zvolte Python 3.8.
f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.
Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.
Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.
2. Konfigurace aplikace funkcí
- V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
- Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
- Přidejte jednotlivá nastavení aplikace s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (volitelné)
- K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu:
https://WORKSPACE_ID.ods.opinsights.azure.us
.
- Po zadání všech nastavení aplikace klikněte na Uložit.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.