Udostępnij za pośrednictwem

Illumio SaaS (przy użyciu usługi Azure Functions) łącznik dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Illumio zapewnia możliwość pozyskiwania zdarzeń do usługi Microsoft Sentinel. Łącznik zapewnia możliwość pozyskiwania zdarzeń inspekcji i przepływu z zasobnika usługi AWS S3.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Kod aplikacji funkcji platformy Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Tabele usługi Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Illumio

Przykłady zapytań

Przykład zdarzeń podlegających inspekcji

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Przykład podsumowań przepływu

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Wymagania wstępne

Aby zintegrować aplikację Illumio SaaS (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia konta SQS i AWS S3: wymagane są AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat ściągania danych. Jeśli używasz zasobnika s3 dostarczonego przez illumio, skontaktuj się z pomocą techniczną aplikacji Illumio. Na żądanie przekażą Ci nazwę zasobnika AWS S3, adres URL platformy AWS SQS i poświadczenia platformy AWS, aby uzyskać do nich dostęp.
  • Illumio API key and secret: ILLUMIO_API_KEY, ILLUMIO_API_SECRET jest wymagany do skoroszytu, aby nawiązać połączenie z usługą SaaS PCE i pobrać odpowiedzi interfejsu API.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z usługą AWS SQS/S3 w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpieczne przechowywanie kluczy autoryzacji interfejsu API lub tokenów w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Wymagania wstępne

  1. Upewnij się, że platforma AWS SQS jest skonfigurowana dla zasobnika s3, z którego będą pobierane dzienniki zdarzeń z możliwością inspekcji. Jeśli usługa Illumio udostępnia zasobnik, skontaktuj się z pomocą techniczną illumio dla adresu URL sqs, nazwy zasobnika s3 i poświadczeń platformy aws.
  2. Rejestrowanie aplikacji usługi AAD — w przypadku reguły zbierania danych w celu uwierzytelnienia w celu pozyskiwania danych do analizy dzienników należy użyć aplikacji Entra. 1. Postępuj zgodnie z instrukcjami podanymi tutaj (kroki 1–5), aby uzyskać identyfikator dzierżawy usługi AAD, identyfikator klienta usługi AAD i klucz tajny klienta usługi AAD.
  3. Upewnij się, że utworzono obszar roboczy usługi Log Analytics. Zanotuj nazwę i region, w którym została wdrożona.

Wdrożenie

Wybierz jedną z poniższych opcji. Użyj poniższego szablonu usługi ARM, aby ręcznie wdrożyć zasoby platformy Azure lub wdrożyć aplikację funkcji.

  1. Szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania zasobów platformy Azure przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Podaj wymagane szczegóły, takie jak obszar roboczy usługi Microsoft Sentinel, poświadczenia platformy AWS, szczegóły aplikacji usługi Azure AD i konfiguracje pozyskiwania

UWAGA: Zaleca się utworzenie nowej grupy zasobów na potrzeby wdrażania aplikacji funkcji i skojarzonych zasobów. 3. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 4. Kliknij przycisk Kup , aby wdrożyć.

  1. Wdrażanie dodatkowych aplikacji funkcji w celu obsługi skalowania

Ta metoda służy do automatycznego wdrażania dodatkowych aplikacji funkcji przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Ręczne wdrażanie usługi Azure Functions

Wdrażanie za pomocą programu Visual Studio Code.

1. Wdrażanie aplikacji funkcji

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.
  2. Postępuj zgodnie z instrukcjami ręcznego wdrażania aplikacji funkcji, aby wdrożyć aplikację usługi Azure Functions przy użyciu programu VSCode.
  3. Po pomyślnym wdrożeniu aplikacji funkcji wykonaj następne kroki konfigurowania aplikacji.

2. Konfigurowanie aplikacji funkcji

  1. Postępuj zgodnie z dokumentacją, aby skonfigurować wszystkie wymagane zmienne środowiskowe i kliknij przycisk Zapisz. Upewnij się, że ponownie uruchomisz aplikację funkcji po zapisaniu ustawień.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.