Microsoft Sentinel 的 Luminar IOC 和外洩認證(使用 Azure Functions) 連接器
Luminar IOC 和外洩認證連接器允許整合以智慧為基礎的 IOC 數據和 Luminar 所識別的客戶相關外洩記錄。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
Azure 函數應用程式程式碼 | https://aka.ms/sentinel-CognyteLuminar-functionapp |
記錄分析資料表 | ThreatIntelligenceIndicator |
資料收集規則支援 | 目前不支援 |
支援者: | Cognyte Luminar |
查詢範例
Cognyte Luminar 型指標事件 - Microsoft Sentinel 威脅情報中的所有 Cognyte Luminar 指標。
ThreatIntelligenceIndicator
| where SourceSystem contains 'Luminar'
| sort by TimeGenerated desc
非 Cognyte Luminar 型指標事件 - Microsoft Sentinel 威脅情報中的所有非 Cognyte Luminar 指標。
ThreatIntelligenceIndicator
| where SourceSystem !contains 'Luminar'
| sort by TimeGenerated desc
必要條件
若要與 Luminar IOC 和外洩認證整合(使用 Azure Functions),請確定您有:
- Azure 訂用帳戶:需要具有擁有者角色的 Azure 訂用帳戶,才能在 azure active directory() 中註冊應用程式,並將參與者角色指派給資源群組中的應用程式。
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- REST API 認證/許可權: 需要 Luminar 用戶端識別碼、 Luminar 用戶端密碼 和 Luminar 帳戶標識碼 。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Cognyte Luminar API,將 Luminar IOC 和外泄認證提取至 sentinel Microsoft。 這可能會導致資料擷取和在 Azure Blob 儲存體中儲存資料的額外成本。 如需詳細資料,請參閱 Azure Functions 價格頁面及 Azure Blob 儲存體價格頁面。
(選用步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法來使用 ARM 範本自動部署資料連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入應用程式標識碼、租使用者標識碼、用戶端密碼、Luminar API 用戶端識別碼、Luminar API 帳戶標識碼、Luminar API 用戶端密碼、限制、TimeInterval 和部署。
選取標示著 [我同意上述條款及條件] 的核取方塊。
按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,透過 Azure Functions 手動部署 Cognyte Luminar 資料連接器(透過 Visual Studio Code 部署)。
1.部署 Function App
注意:您需要為 Azure 函式開發準備 VS Code。
下載 Azure Function App 檔案。 將封存擷取至本機開發電腦。
啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。
從擷取的檔案中選取最上層的資料夾。
選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中,選擇 [部署至函數應用程式] 按鈕。 如果您尚未登入,請選擇活動列中的 Azure 圖示,然後在 [Azure: Functions] 區域中選擇 [登入 Azure] 如果已登入,請移至下一個步驟。
提示中會提供下列資訊:
a. 選取資料夾:從工作區選擇一個資料夾,或瀏覽至其中一個包含您函數應用程式的資料夾。
b. 選取訂用帳戶:選擇要使用的訂用帳戶。
c. 選取 [在 Azure 中建立新的函數應用程式] (不要選擇 [進階] 選項)
d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。 (例如 CognyteLuminarXXX)。
e. 選取運行時間: 選擇 Python 3.11。
f. 選取新資源的位置。 為了獲得更好的效能和更低的成本,請選擇 Microsoft Sentinel 所在的相同區域。
部署即將開始。 建立函式應用程式並套用部署套件之後,即會顯示通知。
前往 Azure 入口網站來進行函數應用程式設定。
2.設定函數應用程式
- 在函數應用程式中,選取 [函數應用程式名稱],然後選取 [設定]。
- 在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
- 個別新增下列每個應用程式設定,其各自的字串值(區分大小寫):應用程式標識元租使用者標識符用戶端密碼Luminar API 用戶端標識符 Luminar API 帳戶標識碼 Luminar API 用戶端密碼限制 TimeInterval - 使用 logAnalyticsUri 來覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將該值留空;對於 Azure GovUS 雲端環境,請依下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us
- 輸入所有應用程式設定之後,請按一下 [儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。