你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Luminar IOC 和凭据泄露(使用 Azure Functions)连接器

Luminar IOC 和凭据泄露连接器允许集成基于情报的 IOC 数据和 Luminar 识别的与客户相关的泄露记录。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Azure 函数应用代码 https://aka.ms/sentinel-CognyteLuminar-functionapp
Log Analytics 表 ThreatIntelligenceIndicator
数据收集规则支持 目前不支持
支持的服务 Cognyte Luminar

查询示例

基于 Cognyte Luminar 的指标事件 - Microsoft Sentinel 威胁情报中的所有 Cognyte Luminar 指标。

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

基于非 Cognyte Luminar 的指标事件 - Microsoft Sentinel 威胁情报中的所有非 Cognyte Luminar 指标。

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

先决条件

若要与 Luminar IOC 和凭据泄露(使用 Azure Functions)集成,请确保拥有以下项目:

  • Azure 订阅:需要具有所有者角色的 Azure 订阅才能在 Azure Active Directory() 中注册应用程序并将贡献者角色分配给资源组中的应用程序。
  • Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions
  • REST API 凭据/权限需要 Luminar 客户端 IDLuminar 客户端密码Luminar 帐户 ID

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Cognyte Luminar API,以将 Luminar IOC 和凭据泄露拉入 Microsoft Sentinel。 这可能会导致在引入数据和在 Azure Blob 存储中存储数据时产生额外成本。 有关详细信息,请查看 Azure Functions 定价页Azure Blob 存储定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法通过 ARM 模板自动部署数据连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入应用程序 ID租户 ID客户端密码Luminar API 客户端 IDLuminar API 帐户 IDLuminar API 客户端密码限制时间间隔并部署。

  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

按照以下分步说明,使用 Azure Functions 手动部署 Cognyte Luminar 数据连接器(通过 Visual Studio Code 进行部署)。

1. 部署函数应用

注意:需要为 Azure 函数开发准备 VS 代码

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。

  5. 根据提示提供以下信息:

    a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择订阅:选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)

    d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 CognyteLuminarXXX)。

    e. 选择运行时:选择 Python 3.11。

    f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域

  6. 将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。

  7. 转到 Azure 门户,获取函数应用配置。

2. 配置函数应用

  1. 在函数应用中选择“函数应用名称”,然后选择“配置”。
  2. 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
  3. 单独添加以下每个应用程序设置及其各自的字符串值(区分大小写):应用程序 ID、租户 ID、客户端密码、Luminar API 客户端 ID、Luminar API 帐户 ID、Luminar API 客户端密码、限制、时间间隔 - 使用 logAnalyticsUri 覆盖专用云的日志分析 API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  4. 输入所有应用程序设置后,单击“保存”。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案