Connecteur Illumio SaaS (via Azure Functions) pour Microsoft Sentinel
Le connecteur Illumio permet d’ingérer des événements dans Microsoft Sentinel. Le connecteur permet d’ingérer des événements auditables et des événements de flux à partir d’un compartiment AWS S3.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
Attribut du connecteur | Description |
---|---|
Code d’application de fonction Azure | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
Table(s) Log Analytics | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
Pris en charge par | Illumio |
Exemples de requête
Exemple d’événements auditables
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Exemple de résumés de flux
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Prérequis
Pour effectuer une intégration à Illumio SaaS (via Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL sont requis. Consultez la documentation pour en savoir plus sur l’extraction de données. Si vous utilisez un compartiment s3 fourni par Illumio, contactez le support Illumio. À votre demande, ils vous fourniront le nom du compartiment AWS S3, l’URL AWS SQS ainsi que les informations d’identification AWS pour y accéder.
- Clé API et secret Illumio : ILLUMIO_API_KEY, ILLUMIO_API_SECRET est nécessaire pour permettre à un classeur d’établir une connexion à SaaS PCE, et récupérer les réponses de l’API.
Instructions d’installation du fournisseur
Remarque
Ce connecteur utilise Azure Functions pour se connecter à AWS SQ / S3 et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Prérequis
- Vérifiez qu’AWS SQS est configuré pour le compartiment s3 dont les journaux des événements de flux et les journaux des événements auditables doivent être extraits. Si Illumio fournit un compartiment, contactez le support Illumio pour obtenir l’URL SQL, le nom du compartiment S3 et les informations d’identification AWS.
- Inscrire l’application AAD – Pour que la DCR (règle de collecte de données) puisse être authentifiée afin d’ingérer des données dans l’analytique des journaux d’activité, vous devez utiliser l’application Entra. 1. Suivez les instructions fournies ici (étapes 1 à 5) pour obtenir l’ID de locataire AAD, l’ID de client AAD et la clé secrète client AAD.
- Vérifiez que vous avez créé un espace de travail Log Analytics. Notez le nom et la région où il a été déployé.
Déploiement
Choisissez l’une des approches parmi les options ci-dessous. Utilisez le modèle ARM ci-dessous pour déployer les ressources Azure, ou déployez l’application de fonction manuellement.
- Modèle Azure Resource Manager (ARM)
Utilisez cette méthode pour le déploiement automatisé de ressources Azure en utilisant un modèle ARM.
Cliquez sur le bouton Déployer sur Azure ci-dessous.
Fournissez les détails nécessaires par exemple l’espace de travail Microsoft Sentinel, les informations d’identification AWS, les détails de l’application Azure AD ainsi que les configurations d’ingestion
REMARQUE : Il est recommandé de créer un groupe de ressources pour le déploiement de l’application de fonction et des ressources associées. 3. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 4. Cliquez sur Acheter pour déployer le système.
- Déployer des applications de fonction supplémentaires pour gérer la mise à l’échelle
Utilisez cette méthode pour le déploiement automatisé d’applications de fonction supplémentaires en utilisant un modèle ARM.
Déploiement via Visual Studio Code.
1. Déployer une application de fonction
- Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
- Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
- Après avoir déployé l’application de fonction, suivez les étapes suivantes pour la configurer.
2. Configurer l’application de fonction
- Suivez la documentation pour configurer toutes les variables d’environnement nécessaires, puis cliquez sur Enregistrer. Veillez à redémarrer l’application de fonction, une fois les paramètres enregistrés.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.