Partager via


Connecteur Illumio SaaS (via Azure Functions) pour Microsoft Sentinel

Le connecteur Illumio permet d’ingérer des événements dans Microsoft Sentinel. Le connecteur permet d’ingérer des événements auditables et des événements de flux à partir d’un compartiment AWS S3.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Code d’application de fonction Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Table(s) Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Illumio

Exemples de requête

Exemple d’événements auditables

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Exemple de résumés de flux

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Prérequis

Pour effectuer une intégration à Illumio SaaS (via Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification/autorisations de compte SQS et AWS S3 : AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL sont requis. Consultez la documentation pour en savoir plus sur l’extraction de données. Si vous utilisez un compartiment s3 fourni par Illumio, contactez le support Illumio. À votre demande, ils vous fourniront le nom du compartiment AWS S3, l’URL AWS SQS ainsi que les informations d’identification AWS pour y accéder.
  • Clé API et secret Illumio : ILLUMIO_API_KEY, ILLUMIO_API_SECRET est nécessaire pour permettre à un classeur d’établir une connexion à SaaS PCE, et récupérer les réponses de l’API.

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à AWS SQ / S3 et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Prérequis

  1. Vérifiez qu’AWS SQS est configuré pour le compartiment s3 dont les journaux des événements de flux et les journaux des événements auditables doivent être extraits. Si Illumio fournit un compartiment, contactez le support Illumio pour obtenir l’URL SQL, le nom du compartiment S3 et les informations d’identification AWS.
  2. Inscrire l’application AAD – Pour que la DCR (règle de collecte de données) puisse être authentifiée afin d’ingérer des données dans l’analytique des journaux d’activité, vous devez utiliser l’application Entra. 1. Suivez les instructions fournies ici (étapes 1 à 5) pour obtenir l’ID de locataire AAD, l’ID de client AAD et la clé secrète client AAD.
  3. Vérifiez que vous avez créé un espace de travail Log Analytics. Notez le nom et la région où il a été déployé.

Déploiement

Choisissez l’une des approches parmi les options ci-dessous. Utilisez le modèle ARM ci-dessous pour déployer les ressources Azure, ou déployez l’application de fonction manuellement.

  1. Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé de ressources Azure en utilisant un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Fournissez les détails nécessaires par exemple l’espace de travail Microsoft Sentinel, les informations d’identification AWS, les détails de l’application Azure AD ainsi que les configurations d’ingestion

REMARQUE : Il est recommandé de créer un groupe de ressources pour le déploiement de l’application de fonction et des ressources associées. 3. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 4. Cliquez sur Acheter pour déployer le système.

  1. Déployer des applications de fonction supplémentaires pour gérer la mise à l’échelle

Utilisez cette méthode pour le déploiement automatisé d’applications de fonction supplémentaires en utilisant un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Déploiement manuel d’Azure Functions

Déploiement via Visual Studio Code.

1. Déployer une application de fonction

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.
  2. Suivez les instructions de déploiement manuel de l’application de fonction pour déployer l’application Azure Functions à l’aide de VSCode.
  3. Après avoir déployé l’application de fonction, suivez les étapes suivantes pour la configurer.

2. Configurer l’application de fonction

  1. Suivez la documentation pour configurer toutes les variables d’environnement nécessaires, puis cliquez sur Enregistrer. Veillez à redémarrer l’application de fonction, une fois les paramètres enregistrés.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.