Illumio SaaS-connector (met behulp van Azure Functions) voor Microsoft Sentinel
Illumio-connector biedt de mogelijkheid om gebeurtenissen op te nemen in Microsoft Sentinel. De connector biedt de mogelijkheid om controlebare gebeurtenissen op te nemen en stroomgebeurtenissen uit AWS S3-bucket op te nemen.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Code van Azure-functie-app | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
| Log Analytics-tabellen | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Illumio |
Voorbeelden van query's
Voorbeeld van controleerbare gebeurtenissen
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Voorbeeld van stroomsamenvattingen
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Vereisten
Als u wilt integreren met Illumio SaaS (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- SQS- en AWS S3-accountreferenties/-machtigingen: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL is vereist. Zie de documentatie voor meer informatie over het ophalen van gegevens. Als u s3 bucket van Illumio gebruikt, neemt u contact op met de ondersteuning van Illumio. Op uw verzoek krijgt u de naam van de AWS S3-bucket, de AWS SQS-URL en AWS-referenties om ze te openen.
- Illumio-API-sleutel en -geheim: ILLUMIO_API_KEY, ILLUMIO_API_SECRET is vereist voor een werkmap om verbinding te maken met SaaS PCE en API-antwoorden op te halen.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met de AWS SQS/S3 om logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla de API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Vereisten
- Zorg ervoor dat AWS SQS is geconfigureerd voor de s3-bucket waaruit stroom- en controlebare gebeurtenislogboeken worden opgehaald. Als Illumio buckets biedt, neemt u contact op met de ondersteuning van Illumio voor sqs URL, s3 bucket name en aws credentials.
- AAD-toepassing registreren: voor DCR (regel voor gegevensverzameling) om gegevens op te nemen in Log Analytics, moet u de Entra-toepassing gebruiken. 1. Volg hier de instructies (stap 1-5) om AAD-tenant-id, AAD-client-id en AAD-clientgeheim op te halen.
- Zorg ervoor dat u een Log Analytics-werkruimte hebt gemaakt. Noteer de naam en regio waar deze is geïmplementeerd.
Implementatie
Kies een van de methoden uit de onderstaande opties. Gebruik de onderstaande ARM-sjabloon om Azure-resources te implementeren of een functie-app handmatig te implementeren.
- Arm-sjabloon (Azure Resource Manager)
Gebruik deze methode voor geautomatiseerde implementatie van Azure-resources met behulp van een ARM-tempate.
Klik op de knop Implementeren in Azure hieronder.
Geef de vereiste gegevens op, zoals Microsoft Sentinel Workspace, AWS-referenties, Azure AD-toepassingsdetails en opnameconfiguraties
OPMERKING: Het wordt aanbevolen om een nieuwe resourcegroep te maken voor de implementatie van de functie-app en de bijbehorende resources. 3. Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden. 4. Klik op Kopen om te implementeren.
- Aanvullende functie-apps implementeren voor het afhandelen van schaal
Gebruik deze methode voor geautomatiseerde implementatie van aanvullende functie-apps met behulp van een ARM-tempate.
Klik op de knop Implementeren in Azure hieronder.
Handmatige implementatie van Azure Functions
Implementatie via Visual Studio Code.
1. Een functie-app implementeren
- Download het Azure Function App-bestand . Pak archief uit op uw lokale ontwikkelcomputer.
- Volg de handmatige implementatie-instructies voor de functie-app om de Azure Functions-app te implementeren met behulp van VSCode.
- Nadat de implementatie van de functie-app is geslaagd, volgt u de volgende stappen voor het configureren ervan.
2. De functie-app configureren
- Volg de documentatie om alle vereiste omgevingsvariabelen in te stellen en klik op Opslaan. Zorg ervoor dat u de functie-app opnieuw start zodra de instellingen zijn opgeslagen.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.