你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Illumio SaaS(使用 Azure Functions)连接器

Illumio 连接器提供将事件引入 Microsoft Sentinel 的功能。 该连接器提供从 AWS S3 Bucket 中引入可审核事件和流事件的功能。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Azure 函数应用代码 https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Log Analytics 表 Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
数据收集规则支持 目前不支持
支持的服务 Illumio

查询示例

可审核事件示例

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

流摘要示例

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

先决条件

要与 Illumio SaaS(使用 Azure Functions)集成,请确保具备:

  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • SQS 和 AWS S3 帐户凭据/权限:需要 AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL。 参阅文档以详细了解数据拉取。 如果使用的是 Illumio 提供的 s3 Bucket,请联系 Illumio 支持。 他们会根据你的请求,为你提供 AWS S3 Bucket 名称、AWS SQS URL 和 AWS 凭据来访问它们。
  • Illumio API 密钥和机密:工作簿需要 ILLUMIO_API_KEY、ILLUMIO_API_SECRET 才能连接到 SaaS PCE 并提取 API 响应。

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 AWS SQS/S3,以将日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

先决条件

  1. 确保为你要从中拉取流和可审核事件日志的 s3 Bucket 配置 AWS SQS。 如果 Illumio 提供了 Bucket,请联系 Illumio 支持以获取 sqs URL、s3 Bucket 名称和 aws 凭据。
  2. 注册 AAD 应用程序 - 若要使 DCR(数据收集规则)能够进行身份验证以将数据引入日志分析,必须使用 Entra 应用程序。 1. 按照此处的说明(步骤 1-5)获取 AAD 租户 ID、AAD 客户端 ID 和 AAD 客户端密码。
  3. 确保已创建 Log Analytics 工作区。 请记下其名称和部署区域。

部署

从以下选项中选择一种方法。 使用以下 ARM 模板部署 Azure 资源或手动部署函数应用。

  1. Azure 资源管理器 (ARM) 模板

使用此方法,利用 ARM 模板自动部署 Azure 资源。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 提供所需的详细信息,例如 Microsoft Sentinel 工作区、AWS 凭据、Azure AD 应用程序详细信息和引入配置

注意:建议创建用于部署函数应用和相关资源的新资源组。 3. 选中“我同意上述条款和条件”复选框。 4.单击“购买”进行部署

  1. 部署其他函数应用来处理缩放

使用此方法通过 ARM 模板自动部署其他函数应用。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 手动部署 Azure Functions

通过 Visual Studio Code 进行部署。

1. 部署函数应用

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署指南,使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤进行配置。

2. 配置函数应用

  1. 按照文档设置所有必需的环境变量,然后单击“保存”。 确保在保存设置后重启函数应用。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案