Connecteur Lookout (à l’aide d’Azure Function) pour Microsoft Sentinel
Le connecteur de données Lookout offre la possibilité d’ingérer des événements Lookout dans Microsoft Sentinel via l’API Mobile Risk. Pour plus d’informations, consultez la documentation de l’API. Le connecteur de données Lookoutoffre la possibilité d’obtenir des événements, ce qui permet d’examiner les risques de sécurité potentiels, et bien plus encore.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Lookout_CL |
| Prise en charge des règles de collecte des données | Non prise en charge pour le moment |
| Pris en charge par | Lookout |
Exemples de requête
Événements Lookout - Toutes les activités.
Lookout_CL
| sort by TimeGenerated desc
Prérequis
Pour intégrer Lookout (avec Azure Function), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de l’API Mobile Risk : EnterpriseName et ApiKey sont requises pour l’API Mobile Risk. Consultez la documentation pour en savoir plus sur l’API. Vérifiez toutes les conditions requises et suivez les instructions d’obtention des informations d’identification.
Instructions d’installation du fournisseur
Notes
Ce connecteur de données Lookout utilise Azure Functions pour se connecter à l’API Mobile Risk, afin d’extraire ses événements dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu LookoutEvents qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Étapes de configuration de l’API Mobile Risk
Suivez les instructions pour obtenir les informations d'identification.
ÉTAPE 2 : suivez les instructions ci-dessous pour déployer le connecteur de données Lookout et la fonction Azure associée
IMPORTANT : avant de commencer le déploiement du connecteur de données Lookout, assurez-vous d’avoir l’ID d’espace de travail et la clé d’espace de travail prêts (peuvent être copiés à partir de ce qui suit).
Clé d'espace de travail
Modèle Azure Resource Manager (ARM)
Suivez les étapes ci-dessous pour le déploiement automatisé du connecteur de données Lookout à l’aide d’un modèle ARM.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Sélectionnez votre abonnement, votre groupe de ressources, puis votre région préférés.
REMARQUE : au sein du même groupe de ressources, vous ne pouvez pas mélanger des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez le Nom de la fonction, l’ID de l’espace de travail, la Clé de l’espace de travail, le Nom de l’entreprise et la Clé d’API, puis déployez. 4. Cliquez sur Créer pour déployer.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.