Microsoft Sentinel 用 Lookout Cloud Security (Azure Functions を使用) コネクタ
このコネクタでは Agari REST API 接続を使用して、Microsoft Sentinel Log Analytics にデータをプッシュします。
コネクタ属性
コネクタ属性 | 説明 |
---|---|
Azure Functions アプリ コード | https://aka.ms/sentinel-Lookout-functionapp |
Log Analytics テーブル | LookoutCloudSecurity_CL |
データ収集ルールのサポート | 現在、サポートされていません |
サポートしているもの | Lookout |
クエリのサンプル
Lookout Cloud Security のすべてのログ
LookoutCloudSecurity_CL
| sort by TimeGenerated desc
前提条件
Microsoft Sentinel 用 Lookout Cloud Security (Azure Functions を使用) と統合するには、次があることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使用して Agari REST API に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
詳細な手順
この統合の前提条件として、まず Lookout の管理コンソールで API クライアントを構成する必要があります。 管理コンソールから、1 つまたは複数のクライアントを追加し、それぞれに適したアクセス許可とアクションを構成できます。
名前 - このクライアントに指定された名前。
クライアント ID - このクライアントに対して指定された一意の ID。
アクセス許可 - このクライアントで有効になっているアクセス許可。 確認するのは、クライアントがアクセスを許可されるアクセス許可です。 一覧表示されているオプションは、アクティビティ、違反、異常、分析情報、プロファイルです
サービス URL - このクライアントへのアクセスに使用される URL。先頭は https:// である必要があります
承認済み IP - このクライアントに適用される有効な IP アドレス。
アクション - このクライアントに対して実行できるアクション。 実行するアクションのアイコンをクリックします。 クライアント情報の編集、クライアント シークレットの表示、またはクライアントの削除。
新しい API クライアントを追加するには:
[管理] > [エンタープライズ統合] > [API クライアント] の順に移動し、[新規] をクリックします。
[名前] (必須) と [説明] (省略可能) を入力します。
指定されたクライアント ID を入力します。
ドロップダウン リストから 1 つまたは複数のアクセス許可を選択します。
このクライアントの 1 つまたは複数の承認済み IP アドレスを入力します。 各アドレスをコンマで区切ります。
[保存] をクリックします。
メッセージが表示されたら、クライアントのシークレットの文字列をコピーします。 API ゲートウェイに対する認証には、この情報 (クライアント ID と共に) が必要です。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および Azure Blob Storage 接続文字列とコンテナー名をすぐに使用できるようにしておきます。
オプション 1 - Azure Resource Manager (ARM) テンプレート
ARM テンプレートを使ってデータ コネクタを自動的にデプロイするには、この方法を使用します。
下の [Azure へのデプロイ] ボタンをクリックします。
ご希望の [サブスクリプション]、[リソース グループ]、[場所] を選択します。
Lookout クライアント ID、Lookout クライアント シークレット、Lookout ベース URL、Microsoft Sentinel ワークスペース ID、Microsoft Sentinel 共有キーを入力します
[上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
オプション 2 - Azure Functions の手動デプロイ
Azure Functions を使用してデータ コネクタを手動でデプロイするには、次の詳細な手順を使用します (Visual Studio Code によるデプロイ)。
1. 関数アプリをデプロイする
注: Azure 関数の開発には VS Code を準備する必要があります。
Azure 関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発用コンピューターに抽出します。
VS Code を起動します。 メイン メニューで [ファイル] を選び、[フォルダーを開く] を選択します。
展開されたファイルから最上位のフォルダーを選択します。
アクティビティ バーで Azure アイコンを選択し、[Azure: Functions] 領域の [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの Azure アイコンを選択し、[Azure: Functions] 領域で [Azure にサインイン] を選択します。既にサインインしている場合は、次の手順に進みます。
プロンプトで、次の情報を入力します。
a. フォルダーの選択: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。
b. サブスクリプションの選択: 使用するサブスクリプションを選択します。
c. [Azure で新しい関数アプリを作成する] を選択します ([詳細設定] オプションは選ばないでください)
d. 関数アプリのグローバルに一意の名前を入力: URL パスで有効な名前を入力します 入力した名前は、Azure Functions 内での一意性を確保するために検証されます。
e. ランタイムの選択: [Python 3.8] を選びます。
f. 新しいリソースの場所を選択してください パフォーマンスを向上させ、コストを下げるために、Microsoft Sentinel が配置されているのと同じリージョンを選びます。
デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。
関数アプリを構成するために、Azure portal に移動します。
2. 関数アプリを構成する
- 関数アプリで、関数アプリ名を選択し、[構成] を選択します。
- [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。
- 次の各アプリケーション設定を、それぞれの文字列値で個別に追加します (大文字と小文字を区別): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (省略可能)
- 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、
https://WORKSPACE_ID.ods.opinsights.azure.us
の形式で値を指定します。
- すべてのアプリケーション設定を入力したら、[保存] をクリックします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。