Partager via

Connecteur Luminar IOCs DNS et Leaked Credentials (en utilisant Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur Luminar IOCs DNS et Leaked Credentials permet d’intégrer des données IOC basées sur l’intelligence et des enregistrements divulguées liées à un client identifiées par Luminar.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Code d’application de fonction Azure https://aka.ms/sentinel-CognyteLuminar-functionapp
Table(s) Log Analytics ThreatIntelligenceIndicator
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Cognyte Luminar

Exemples de requête

Événements des indicateurs basés sur Cognyte Luminar – Tous les indicateurs Cognyte Luminar dans Veille des menaces Microsoft Sentinel.

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

Événements des indicateurs non basés sur Cognyte Luminar – Tous les indicateurs autres que Cognyte Luminar dans Veille des menaces Microsoft Sentinel.

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

Prérequis

Pour effectuer une intégration avec Luminar IOCs et Leaked Credentials (en utilisant Azure Functions), veillez à avoir ce qui suit :

  • Abonnement Azure : un abonnement Azure avec un rôle de propriétaire est requis pour inscrire une application dans Azure Active Directory() et attribuer un rôle de contributeur à une application dans un groupe de ressources.
  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification-autorisations REST API : l’ID client Luminar, la Clé secrète client Luminar et l’ID de compte Luminar sont requis.

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à l’API Cognyte Luminar pour extraire Luminar IOCs et Leaked Credentials dans Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion des données et le stockage des données dans Stockage Blob Azure. Pour plus de détails, consultez les pages Tarification d’Azure Functions et Tarification du Stockage Blob Azure.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez l’ID d’application, l’ID de tenant, la Clé secrète client, l’ID client d’API Luminar, l’ID de compte d’API Luminar, la Clé secrète client d’API Luminar, la Limite, TimeInterval, puis déployez.

  4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Cognyte Luminar avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : Vous devrez préparer le code VS pour le développement d’une fonction Azure.

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

  2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

  3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

  4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

  5. Quand vous y êtes invité, indiquez les informations suivantes :

    a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

    b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

    c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

    d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, CognyteLuminarXXX).

    e. Sélectionnez un runtime : choisissez Python 3.11.

    f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

  6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

  7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

  1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
  2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
  3. Ajoutez individuellement chacun des paramètres d’application suivants avec leurs valeurs de chaîne respective (respecte la casse) : ID d’application, ID de tenant, Clé secrète client, ID client d’API Luminar, ID de compte d’API Luminar, Clé secrète client d’API Luminar, Limite et TimeInterval. Utilisez logAnalyticsUri pour remplacer le point de terminaison d’API d’analytique des journaux d'activité pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us
  4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.