Соединитель Illumio SaaS (с помощью Функции Azure) для Microsoft Sentinel
Соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель предоставляет возможность приема событий аудита и потоков из контейнера AWS S3.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
Атрибут соединителя | Description |
---|---|
Код приложения-функции Azure | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
Таблицы Log Analytics | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
Поддержка правил сбора данных | В настоящий момент не поддерживается |
Поддерживается | Illumio |
Примеры запросов
Пример событий, доступных для аудита
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Пример сводок потока
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Необходимые компоненты
Чтобы интегрироваться с Illumio SaaS (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Дополнительные сведения о вытягивании данных см. в документации. Если вы используете контейнер s3, предоставляемый Illumio, обратитесь в службу поддержки Illumio. По запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним.
- Ключ и секрет API Illumio: ILLUMIO_API_KEY ILLUMIO_API_SECRET требуется для книги, чтобы подключиться к SaaS PCE и получить ответы api.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к AWS SQS/S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение ключей авторизации API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Необходимые компоненты
- Убедитесь, что AWS SQS настроен для контейнера s3, из которого будут вытягиваться журналы событий, доступные для потоков и аудита. В случае, если Illumio предоставляет контейнер, обратитесь в службу поддержки Illumio для URL-адреса sqs, имени контейнера s3 и учетных данных AWS.
- Регистрация приложения AAD . Для DCR (правила сбора данных) для проверки подлинности для приема данных в log analytics необходимо использовать приложение Entra. 1. Следуйте инструкциям здесь (шаги 1–5), чтобы получить идентификатор клиента AAD, идентификатор клиента AAD и секрет клиента AAD.
- Убедитесь, что вы создали рабочую область Log Analytics. Обратите внимание на имя и регион, в котором он был развернут.
Развертывание
Выберите один из подходов из следующих параметров. Используйте приведенный ниже шаблон ARM для развертывания ресурсов Azure или развертывания приложения-функции вручную.
- Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания ресурсов Azure с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Укажите необходимые сведения, такие как рабочая область Microsoft Sentinel, учетные данные AWS, сведения о приложении Azure AD и конфигурации приема
ПРИМЕЧАНИЕ. Рекомендуется создать новую группу ресурсов для развертывания приложения-функции и связанных ресурсов. 3. Установите флажок с меткой "Я согласен с условиями, указанными выше". 4. Нажмите кнопку " Купить ", чтобы развернуть.
- Развертывание дополнительных приложений-функций для обработки масштабирования
Используйте этот метод для автоматического развертывания дополнительных приложений-функций с помощью шаблона ARM.
Развертывание с помощью Visual Studio Code.
1. Развертывание приложения-функции
- Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
- Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
- После успешного развертывания приложения-функции выполните следующие действия по его настройке.
2. Настройка приложения-функции
- Следуйте документации, чтобы настроить все необходимые переменные среды и нажмите кнопку "Сохранить". Убедитесь, что вы перезапустите приложение-функцию после сохранения параметров.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.