Freigeben über

Connector für Illumio SaaS (mittels Azure Functions) für Microsoft Sentinel

  • Artikel

Der Illumio-Connector bietet die Möglichkeit, Ereignisse in Microsoft Sentinel zu erfassen. Der Connector bietet die Möglichkeit, auditierbare und Flowereignisse aus dem AWS S3-Bucket zu erfassen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Azure-Funktions-App-Code https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Log Analytics-Tabellen Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Illumio

Abfragebeispiele

Beispiel für auditierbare Ereignisse

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Beispiel für Flowzusammenfassungen

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Voraussetzungen

Stellen Sie für die Integration in Illumio SaaS (mittels Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Folgende Anmeldeinformationen/Berechtigungen für SQS- und AWS S3-Konten sind erforderlich: AWS_SECRET, AWS_REGION_NAME, AWS_KEY und QUEUE_URL. Weitere Informationen zum Pullen von Daten finden Sie in der Dokumentation. Wenn Sie einen S3-Bucket verwenden, der von Illumio bereitgestellt wird, wenden Sie sich an den Illumio-Support. Auf Ihre Anforderung hin stellen sie Ihnen den Namen des AWS S3-Buckets, die AWS SQS-URL und AWS-Anmeldeinformationen bereit, um auf ihn zuzugreifen.
  • Illumio-API-Schlüssel und -Geheimnis: ILLUMIO_API_KEY, ILLUMIO_API_SECRET ist für eine Arbeitsmappe erforderlich, um eine Verbindung mit SaaS PCE herzustellen und API-Antworten abzurufen.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Functions, um eine Verbindung mit AWS SQS/S3 herzustellen und Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

(Optionaler Schritt) Speichern Sie die Autorisierungsschlüssel oder die Token für die API sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Voraussetzungen

  1. Stellen Sie sicher, dass AWS SQS für den S3-Bucket konfiguriert ist, aus dem Flow- und auditierbare Ereignisprotokolle abgerufen werden. Falls Illumio den Bucket bereitstellt, wenden Sie sich bitte an den Illumio-Support für Die SQS-URL, den S3-Bucketnamen und AWS-Anmeldeinformationen.
  2. Registrieren Sie die AAD-Anwendung – Um DCR (Data Collection Rule, Datensammlungsregel) für das Erfassen von Daten in die Protokollanalyse zu authentifizieren, müssen Sie die Anwendung Entra verwenden. 1. Befolgen Sie diese Anweisungen (Schritte 1 bis 5), um die AAD-Mandanten-ID, die AAD-Client-ID und das AAD-Clientgeheimnis abzurufen.
  3. Stellen Sie sicher, dass Sie einen Log Analytics-Arbeitsbereich erstellt haben. Notieren Sie sich den Namen und die Region, in der er bereitgestellt wurde.

Bereitstellung

Wählen Sie einen der folgenden Ansätze aus den folgenden Optionen aus. Verwenden Sie entweder die folgende ARM-Vorlage, um Azure-Ressourcen bereitzustellen oder eine Funktions-App manuell bereitzustellen.

  1. Azure Resource Manager (ARM)-Vorlage

Verwenden Sie diese Methode für die automatisierte Bereitstellung von Azure-Ressourcen mit einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Geben Sie die erforderlichen Details wie Microsoft Sentinel-Arbeitsbereich, AWS-Anmeldeinformationen, Azure AD-Anwendungsdetails und Erfassungskonfigurationen an

HINWEIS: Es wird empfohlen, eine neue Ressourcengruppe für die Bereitstellung der Funktions-App und der zugeordneten Ressourcen zu erstellen. 3. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 4. Klicken Sie zum Bereitstellen auf Kaufen.

  1. Bereitstellen zusätzlicher Funktions-Apps für die Skalierung

Verwenden Sie diese Methode für die automatisierte Bereitstellung zusätzlicher Funktions-Apps mit einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Manuelle Bereitstellung von Azure Functions

Bereitstellung über Visual Studio Code.

1. Bereitstellen einer Funktions-App

  1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
  2. Befolgen Sie die Anweisungen zur manuellen Bereitstellung der Funktions-App, um die Azure Functions-App mithilfe von VSCode bereitzustellen.
  3. Führen Sie nach erfolgreicher Bereitstellung der Funktions-App die nächsten Schritte zum Konfigurieren aus.

2. Konfigurieren der Funktions-App

  1. Folgen Sie der Dokumentation, um alle erforderlichen Umgebungsvariablen einzurichten, und klicken Sie auf Speichern. Stellen Sie sicher, dass Sie die Funktions-App neu starten, sobald die Einstellungen gespeichert wurden.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.