次の方法で共有

Microsoft Sentinel 用 Illumio SaaS (Azure Functions を使用) コネクタ

  • [アーティクル]

Illumio コネクタでは、イベントを Microsoft Sentinel に取り込む機能が提供されます。 このコネクタでは、AWS S3 バケットから監査可能なイベントとフロー イベントを取り込む機能が提供されます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
Azure 関数アプリのコード https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Log Analytics テーブル Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Illumio

クエリのサンプル

監査可能なイベントのサンプル

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

フローの概要のサンプル

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

前提条件

Illumio SaaS (Azure Functions を使用) と統合するには、次のものがあることを確認します。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • SQS および AWS S3 アカウントの資格情報/アクセス許可: AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL が必要です。 データのプルの詳細については、こちらのドキュメントを参照してください。 Illumio によって提供される s3 バケットを使用している場合は、Illumio サポートにお問い合わせください。 要求に応じて、AWS S3 バケット名、AWS SQS URL、およびそれらにアクセスするための AWS 資格情報が提供されます。
  • Illumio API キーとシークレット: ILLUMIO_API_KEYILLUMIO_API_SECRET は、ブックが SaaS PCE に接続し、API 応答をフェッチするために必要です。

ベンダーのインストール手順

Note

このコネクタでは Azure Functions を使って AWS SQS / S3 に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

前提条件

  1. フロー イベントと監査可能なイベントのログがプルされる s3 バケットに対して AWS SQS が構成されていることを確認します。 Illumio がバケットを提供している場合は、sqs URL、s3 バケット名、aws 資格情報について Illumio サポートにお問い合わせください。
  2. AAD アプリケーションの登録 - ログ分析にデータを取り込むための認証を行う DCR (データ収集規則) の場合は、Entra アプリケーションを使用する必要があります。 1. こちらの手順 (手順 1 から 5) に従ってAAD テナント IDAAD クライアント IDAAD クライアント シークレットを取得します。
  3. ログ分析ワークスペースが作成されていることを確認します。 デプロイされている名前とリージョンをメモしておいてください。

展開

以下のオプションからいずれかの方法を選択します。 次の ARM テンプレートを使用して Azure リソースをデプロイするか、関数アプリを手動でデプロイします。

  1. Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して Azure リソースを自動デプロイするには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure にデプロイする

  2. Microsoft Sentinel ワークスペース、AWS 資格情報、Azure AD アプリケーションの詳細、インジェストの構成など、必要な詳細を指定します

メモ: 関数アプリと関連リソースのデプロイ用に新しいリソース グループを作成することをお勧めします。 3. [上記の使用条件に同意する] というラベルのチェックボックスをオンにします。 4.[購入] をクリックしてデプロイします。

  1. スケールを処理する追加の関数アプリをデプロイする

ARM テンプレートを使用して追加の関数アプリを自動デプロイするには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure にデプロイする

  2. Azure Functions の手動デプロイ

Visual Studio Code によるデプロイ

1. 関数アプリをデプロイする

  1. Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
  2. 関数アプリの手動デプロイ手順」に従い、VSCode を使って Azure Functions アプリをデプロイします。
  3. 関数アプリのデプロイに成功したら、以下の手順に従って関数アプリを構成します。

2. 関数アプリを構成する

  1. ドキュメントに従って、必要なすべての環境変数を設定し、[保存] をクリックします。 設定が保存されたら、関数アプリを再起動してください。

次のステップ

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。