Conector Illumio SaaS (com o Azure Functions) para Microsoft Sentinel
O conector Illumio oferece a capacidade de ingerir eventos no Microsoft Sentinel. O conector fornece a capacidade de ingerir eventos auditáveis e de fluxo do bucket do AWS S3.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Código do aplicativo de funções do Azure | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
Tabela(s) do Log Analytics | Illumio_Eventos_Auditáveis_CL Eventos_de_Fluxo_de_Illumio_CL |
Suporte às regras de coleta de dados | Sem suporte no momento |
Com suporte por | Illumio |
Exemplos de consulta
Amostra de eventos auditáveis
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Amostra de resumos de fluxo
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Pré-requisitos
Para integrar com Illumio SaaS (usando Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões da conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY e QUEUE_URL são necessárias. Confira a documentação para saber mais sobre a extração de dados. Caso esteja usando o bucket s3 fornecido pelo Illumio, entre em contato com o suporte do Illumio. A sua solicitação, eles fornecerão o nome do bucket do AWS S3, o URL do SQS do AWS e as credenciais do AWS para acessá-los.
- Segredo e chave da API do Illumio: CHAVE_API_ILLUMIO, ILLUMIO_API_SEGREDO é necessário para que uma pasta de trabalho faça conexão com o PCE SaaS e obtenha respostas da API.
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar ao SQS/S3 do AWS para efetuar pull de logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa Opcional) Armazenar com segurança chaves de autorização de API ou tokens no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Pré-requisitos
- Verifique se o SQS do AWS está configurado para o bucket s3 do qual os logs de eventos auditáveis e de fluxo serão extraídos. Caso o Illumio forneça bucket, entre em contato com o suporte do Illumio para obter o URL do SQS, o nome do bucket do S3 e as credenciais da AWS
- Registrar aplicativo do AAD – Para que a DCR (regra de coleta de dados) seja autenticada para ingerir dados na análise de logs, use o aplicativo Entra. 1. Siga as instruções aqui (etapas 1 a 5) para obter a ID de Locatário do AAD, a ID de Cliente do AAD e o Segredo do Cliente do AAD.
- Verifique se você criou um workspace do Log Analytics. Anote o nome e a região em que ele foi implantado.
Implantação
Escolha uma das abordagens das opções abaixo. Use o modelo do ARM abaixo para implantar recursos do Azure ou implantar o aplicativo de funções manualmente.
- Modelo do ARM (Azure Resource Manager)
Use esse método para implantação automatizada de recursos do Azure usando um Modelo do ARM.
Clique no botão Implantar no Azure abaixo.
Forneça os detalhes necessários, como o Workspace do Microsoft Sentinel, as credenciais da AWS, os detalhes do aplicativo Azure AD e as configurações de ingestão
NOTA: é recomendável criar um novo Grupo de Recursos para implantação de aplicativos de funções e recursos associados. 3. Marque a caixa de seleção Concordo com os termos e condições declarados acima. 4. Clique em Comprar para implantar.
- Implantar aplicativos de funções adicionais para lidar com a escala
Use esse método para implantação automatizada de aplicativos de funções adicionais usando um Modelo do ARM.
Implantação por Visual Studio Code
1. Implantar um Aplicativo de Funções
- Baixe o arquivo do Aplicativo Azure Functions. Extraia o arquivo para seu computador de desenvolvimento local.
- Siga as instruções de implantação manual do aplicativo de funções para implantar o aplicativo do Azure Functions usando o VSCode.
- Após a implantação bem-sucedida do aplicativo de funções, siga as próximas etapas para configurá-lo.
2. Configurar o Aplicativo de Funções
- Siga a documentação para configurar todas as variáveis de ambiente necessárias e clique em Salvar. Certifique-se de reiniciar o aplicativo de funções depois que as configurações forem salvas.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.