你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 SailPoint IdentityNow(使用 Azure 函数)连接器
SailPoint IdentityNow 数据连接器提供通过 REST API 将 [SailPoint IdentityNow] 搜索事件引入 Microsoft Sentinel 的功能。 该连接器使客户能够从其 IdentityNow 租户中提取审核信息。 它旨在更轻松地将 IdentityNow 用户活动和治理事件引入 Microsoft Sentinel,以改进安全事件和事件监视解决方案的见解。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| 应用程序设置 | TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri(可选) |
| Azure 函数应用代码 | https://aka.ms/sentinel-sailpointidentitynow-functionapp |
| Log Analytics 表 | SailPointIDN_Events_CL SailPointIDN_Triggers_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | SailPoint |
查询示例
SailPointIDN 搜索事件 - 所有事件
SailPointIDN_Events_CL
| sort by TimeGenerated desc
SailPointIDN 触发器 - 所有触发器
SailPointIDN_Triggers_CL
| sort by TimeGenerated desc
先决条件
若要与 SailPoint IdentityNow 集成(使用 Azure 函数),请确保具备:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- SailPoint IdentityNow API 身份验证凭据:身份验证需要 TENANT_ID、CLIENT_ID 和 CLIENT_SECRET。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 SailPoint IdentityNow REST API,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - SailPoint IdentityNow API 的配置步骤
按照说明获取凭据。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:在部署 SailPoint IdentityNow 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)。
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法通过 ARM 模板自动部署 SailPoint IdentityNow 数据连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
注意:在同一资源组内,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入其他信息并部署。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
按照以下分步说明,使用 Azure Functions 手动部署 SailPoint IdentityNow 数据连接器(通过 Visual Studio Code 进行部署)。
1. 部署函数应用
注意:需要为 Azure 函数开发准备 VS 代码。
下载 Azure 函数应用文件。 将存档提取到本地开发计算机。
启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。
从提取的文件中选择顶级文件夹。
在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。
根据提示提供以下信息:
a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。
b. 选择订阅:选择要使用的订阅。
c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)
d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 searcheventXXXXX)。
e. 选择运行时:选择 Python 3.9。
f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域。
将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。
转到 Azure 门户,获取函数应用配置。
2. 配置函数应用
- 在函数应用中选择“函数应用名称”,然后选择“配置”。
- 在“应用程序设置”选项卡中,选择“新建应用程序设置”****。
- 单独添加以下每个应用程序设置,并具有各自的字符串值(区分大小写):TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri(可选)
- 使用 logAnalyticsUri 替代专用云的 Log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:
https://<CustomerId>.ods.opinsights.azure.us。 3. 输入所有应用程序设置后,单击“保存”。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。