Lookout (使用 Azure Function) 連接器進行Microsoft Sentinel
Lookout 資料連接器提供透過行動風險 API 將 Lookout 事件內嵌至 Microsoft Sentinel 的功能。 如需詳細資訊,請參閱 API 文件 (英文)。 Lookout 資料連接器提供取得事件的能力,有助於檢查潛在的安全性風險等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | Lookout_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | 望風 |
查詢範例
Lookout 事件 - 所有活動。
Lookout_CL
| sort by TimeGenerated desc
必要條件
若要與 Lookout 整合(使用 Azure 函式),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- 行動風險 API 認證/許可權: 行動風險 API 需要 EnterpriseName 和 ApiKey 。 請參閱文件以深入了解 API (英文)。 檢查所有需求並遵循指示 (英文) 以取得認證。
廠商安裝指示
注意
此 Lookout 資料連接器會使用 Azure Functions 連線到行動風險 API,將其事件提取到 sentinel Microsoft。 這可能會導致額外的資料擷取成本。 如需詳細資訊,請參閱 Azure Functions 價格頁面。
注意
此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期 般運作 LookoutEvents,而 LookoutEvents 會隨著Microsoft Sentinel 解決方案一起部署。
步驟 1 - 行動風險 API 的設定步驟
請依照指示 (英文) 取得認證。
步驟 2 - 請遵循下列所述的指示來部署 Lookout 數據連接器和相關聯的 Azure 函式
重要事項: 開始部署 Lookout 資料連接器之前,請務必備妥工作區標識碼和工作區密鑰(可從下列內容複製)。
工作區金鑰
Azure Resource Manager (ARM) 範本
請遵循下列步驟,使用ARM樣本自動部署 Lookout 資料連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 區域。
注意:在相同的資源群組內,您無法在相同的區域中混合使用 Windows 和 Linux 應用程式。 選取不含 Windows 應用程式的現有資源群組或建立新的資源群組。 3.輸入函式名稱、工作區標識符、工作區金鑰、企業名稱和Api 金鑰並部署。 4.按兩下 [建立 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。