Condividi tramite


Connettore SaaS illumio (con Funzioni di Azure) per Microsoft Sentinel

Illumio Connector offre la possibilità di inserire eventi in Microsoft Sentinel. Il connettore consente di inserire eventi controllabili e di flusso dal bucket AWS S3.

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Codice dell'app per le funzioni di Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Tabelle Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: Illumio

Esempi di query

Esempio di eventi controllabili

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Esempio di riepilogo del flusso

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Prerequisiti

Per eseguire l'integrazione con Illumio SaaS (usando Funzioni di Azure) assicurarsi di avere:

  • autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
  • Credenziali/autorizzazioni dell'account SQS e AWS S3: è necessario AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL, QUEUE_URL. Per altre informazioni sul pulling dei dati, vedere la documentazione. Se si usa il bucket s3 fornito da Illumio, contattare il supporto tecnico di Illumio. Alla richiesta, gli utenti forniranno il nome del bucket AWS S3, l'URL DI AWS SQS e le credenziali AWS per accedervi.
  • Chiave API e segreto illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET è necessario per una cartella di lavoro per stabilire la connessione a PCE SaaS e recuperare le risposte api.

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi a AWS SQS/S3 per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dati. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

Prerequisiti

  1. Assicurarsi che AWS SQS sia configurato per il bucket s3 da cui verranno estratti i log eventi di flusso e controllabili. Nel caso in cui Illumio fornisca bucket, contattare il supporto di Illumio per l'URL sqs, il nome del bucket s3 e le credenziali aws.
  2. Registrare l'applicazione AAD: per consentire a DCR (Regola di raccolta dati) di autenticare l'inserimento dei dati in Log Analytics, è necessario usare l'applicazione Entra. 1. Seguire le istruzioni riportate qui (passaggi da 1 a 5) per ottenere l'ID tenant AAD, l'ID client AAD e il segreto client AAD.
  3. Assicurarsi di aver creato un'area di lavoro Log Analytics. Tenere presente il nome e l'area in cui è stata distribuita.

Distribuzione

Scegliere uno degli approcci tra le opzioni seguenti. Usare il modello arm seguente per distribuire le risorse di Azure o distribuire manualmente l'app per le funzioni.

  1. Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica delle risorse di Azure usando un modello arm.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Specificare i dettagli necessari, ad esempio Area di lavoro di Microsoft Sentinel, credenziali AWS, dettagli dell'applicazione Azure AD e configurazioni di inserimento

NOTA: è consigliabile creare un nuovo gruppo di risorse per la distribuzione dell'app per le funzioni e le risorse associate. 3. Contrassegnare la casella di controllo con etichetta Accetto i termini e le condizioni indicati in precedenza. 4. Fare clic su Acquista per distribuire.

  1. Distribuire app per le funzioni aggiuntive per gestire la scalabilità

Usare questo metodo per la distribuzione automatica di app per le funzioni aggiuntive usando un modello ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Distribuzione manuale di Funzioni di Azure

Distribuzione tramite Visual Studio Code.

1. Distribuire un'App per le funzioni

  1. Scaricare il file App per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.
  2. Seguire le istruzioni di distribuzione manuale dell'app per le funzioni per distribuire l'app Funzioni di Azure con VSCode.
  3. Dopo aver completato la distribuzione dell'app per le funzioni, seguire i passaggi successivi per configurarlo.

2. Configurare l'App per le funzioni

  1. Seguire la documentazione per configurare tutte le variabili di ambiente necessarie e fare clic su Salva. Assicurarsi di riavviare l'app per le funzioni una volta salvate le impostazioni.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.