Illumio SaaS-anslutningsprogram (med Azure Functions) för Microsoft Sentinel
Illumio-anslutningsappen ger möjlighet att mata in händelser i Microsoft Sentinel. Anslutningsappen ger möjlighet att mata in granskningsbara händelser och flödeshändelser från AWS S3-bucketen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Kod för Azure-funktionsapp | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
| Log Analytics-tabeller | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Illumio |
Exempel på frågor
Exempel på granskningsbara händelser
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Exempel på flödessammanfattningar
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Förutsättningar
Om du vill integrera med Illumio SaaS (med Azure Functions) kontrollerar du att du har:
- Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
- Autentiseringsuppgifter/behörigheter för SQS- och AWS S3-konton: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL krävs. Mer information om datainsamling finns i dokumentationen. Om du använder s3 bucket som tillhandahålls av Illumio kontaktar du Illumio-supporten. På din begäran kommer de att ge dig AWS S3-bucketnamnet, AWS SQS-URL:en och AWS-autentiseringsuppgifterna för att få åtkomst till dem.
- Illumio API-nyckel och hemlighet: ILLUMIO_API_KEY krävs ILLUMIO_API_SECRET för att en arbetsbok ska kunna ansluta till SaaS PCE och hämta API-svar.
Installationsanvisningar för leverantör
Kommentar
Den här anslutningsappen använder Azure Functions för att ansluta till AWS SQS/S3 för att hämta loggar till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.
(Valfritt steg) Lagra API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.
Förutsättningar
- Se till att AWS SQS har konfigurerats för s3-bucketen från vilken flödes- och granskningsbara händelseloggar ska hämtas. Om Illumio tillhandahåller bucket kontaktar du Illumio-supporten för kvm-URL, s3-bucketnamn och aws-autentiseringsuppgifter.
- Registrera AAD-program – För att DCR (datainsamlingsregel) ska kunna autentiseras för att mata in data i log analytics måste du använda Entra-programmet. 1. Följ anvisningarna här (steg 1–5) för att hämta AAD-klient-ID, AAD-klient-ID och AAD-klienthemlighet.
- Se till att du har skapat en log analytics-arbetsyta. Observera namnet och regionen där det har distribuerats.
Distribution
Välj något av alternativen nedan. Använd arm-mallen nedan för att distribuera azure-resurser eller distribuera funktionsappen manuellt.
- Mall för Azure Resource Manager (ARM)
Använd den här metoden för automatisk distribution av Azure-resurser med hjälp av en ARM-mall.
Klicka på knappen Distribuera till Azure nedan.
Ange nödvändig information, till exempel Microsoft Sentinel-arbetsyta, AWS-autentiseringsuppgifter, Azure AD-programinformation och inmatningskonfigurationer
Obs! Vi rekommenderar att du skapar en ny resursgrupp för distribution av funktionsappen och associerade resurser. 3. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 4. Klicka på Köp för att distribuera.
- Distribuera ytterligare funktionsappar för att hantera skalning
Använd den här metoden för automatisk distribution av ytterligare funktionsappar med hjälp av en ARM-mall.
Klicka på knappen Distribuera till Azure nedan.
Manuell distribution av Azure Functions
Distribution via Visual Studio Code.
1. Distribuera en funktionsapp
- Ladda ned Azure Function App-filen. Extrahera arkivet till din lokala utvecklingsdator.
- Följ instruktionerna för manuell distribution av funktionsappen för att distribuera Azure Functions-appen med VSCode.
- När distributionen av funktionsappen har slutförts följer du nästa steg för att konfigurera den.
2. Konfigurera funktionsappen
- Följ dokumentationen för att konfigurera alla nödvändiga miljövariabler och klicka på Spara. Se till att du startar om funktionsappen när inställningarna har sparats.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.