Conector Illumio SaaS (usando o Azure Functions) para Microsoft Sentinel
O conector Illumio fornece a capacidade de ingerir eventos no Microsoft Sentinel. O conector oferece a capacidade de ingerir eventos auditáveis e de fluxo do bucket do AWS S3.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
Atributo do conector | Description |
---|---|
Código do aplicativo de função do Azure | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
Tabela(s) do Log Analytics | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
Suporte a regras de coleta de dados | Não é suportado atualmente |
Apoiado por | Illumio |
Exemplos de consulta
Amostra de eventos auditáveis
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Amostra de resumos de fluxo
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Pré-requisitos
Para integrar com o Illumio SaaS (usando o Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões de conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL é necessário. Consulte a documentação para saber mais sobre a extração de dados. Se você estiver usando o bucket s3 fornecido pela Illumio, entre em contato com o suporte da Illumio. A seu pedido, eles fornecerão o nome do bucket do AWS S3, o URL do AWS SQS e as credenciais da AWS para acessá-los.
- Chave e segredo da API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET é necessário para que uma pasta de trabalho faça conexão com SaaS PCE e busque respostas de api.
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar ao AWS SQS/S3 para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização de API ou token(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Pré-requisitos
- Verifique se o AWS SQS está configurado para o bucket do s3 do qual os logs de eventos de fluxo e auditáveis serão extraídos. No caso, Illumio fornece bucket, entre em contato com o suporte Illumio para sqs url, s3 bucket name e aws credentials.
- Aplicativo Register AAD - Para que o DCR (Regra de coleta de dados) se autentique para ingerir dados na análise de log, você deve usar o aplicativo Entra. 1. Siga as instruções aqui (etapas 1 a 5) para obter o ID do locatário do AAD, o ID do cliente do AAD e o segredo do cliente do AAD.
- Certifique-se de ter criado um espaço de trabalho de análise de log. Anote o nome e a região onde foi implantado.
Implementação
Escolha uma das abordagens nas opções abaixo. Use o modelo ARM abaixo para implantar recursos do Azure ou implantar o aplicativo de função manualmente.
- Modelo do Azure Resource Manager (ARM)
Use esse método para implantação automatizada de recursos do Azure usando um Modelo ARM.
Clique no botão Implantar no Azure abaixo.
Forneça os detalhes necessários, como o Microsoft Sentinel Workspace, credenciais da AWS, detalhes do Aplicativo do Azure AD e configurações de ingestão
Observação : é recomendável criar um novo grupo de recursos para implantação de aplicativo de função e recursos associados. 3. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 4. Clique em Comprar para implantar.
- Implante aplicativos de função adicionais para lidar com a escala
Use esse método para implantação automatizada de aplicativos de função adicionais usando um modelo ARM.
Implantação via Visual Studio Code.
1. Implantar um aplicativo de função
- Baixe o arquivo do Aplicativo Azure Function. Extraia o arquivo para o computador de desenvolvimento local.
- Siga as instruções de implantação manual do aplicativo de função para implantar o aplicativo Azure Functions usando o VSCode.
- Após a implantação bem-sucedida do aplicativo de função, siga as próximas etapas para configurá-lo.
2. Configurar o aplicativo de função
- Siga a documentação para configurar todas as variáveis de ambiente necessárias e clique em Salvar. Certifique-se de reiniciar o aplicativo de função depois que as configurações forem salvas.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.