Lookout Cloud Security-Connector (mit Azure Functions) für Microsoft Sentinel

Dieser Connector verwendet eine Agari-REST-API-Verbindung, um Daten mithilfe von Push nach Microsoft Sentinel Log Analytics zu übertragen.

Connector-Attribute

Connectorattribut	BESCHREIBUNG
Code der Azure Functions-App	https://aka.ms/sentinel-Lookout-functionapp
Log Analytics-Tabellen	LookoutCloudSecurity_CL
Unterstützung für Datensammlungsregeln	Derzeit nicht unterstützt
Unterstützt von	Lookout

Abfragebeispiele

Alle Lookout Cloud Security-Protokolle

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in Lookout Cloud Security für Microsoft Sentinel (mit Azure Functions) sicher, dass Folgendes vorhanden ist:

• Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verbindet sich über Azure Functions mit der Agari-REST-API, um Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Schritt-für-Schritt-Anweisungen

Als Voraussetzung für diese Integration müssen Sie zunächst einen API-Client in der Lookout-Verwaltungskonsole konfigurieren. Über die Verwaltungskonsole können Sie einen oder mehrere Clients hinzufügen und für jeden die entsprechenden Berechtigungen und Aktionen konfigurieren.

1. Name: Der Name, der diesem Client gegeben wird.

2. Client-ID: Die eindeutige ID, die für diesen Client bereitgestellt wurde.

3. Berechtigungen: Die Berechtigungen, die für diesen Client aktiviert wurden. Bei den von Ihnen überprüften Berechtigungen handelt es sich um die Berechtigungen, auf die der Client zugreifen darf. Die aufgeführten Optionen sind „Aktivität“, „Verletzung“, „Anomalie“, „Erkenntnisse“ und „Profil“.

4. Dienst-URL: Die URL, die für den Zugriff auf diesen Client verwendet wird. Sie muss mit „https://“ beginnen.

5. Autorisierte IP-Adressen: Die gültigen IP-Adressen, die für diesen Client gelten.

6. Aktionen: Die Aktionen, die Sie für diesen Client ausführen können. Klicken Sie auf das Symbol für die Aktion, die Sie ausführen möchten. Bearbeiten von Clientinformationen, Anzeigen des geheimen Clientschlüssels oder Löschen des Clients.

So fügen Sie einen neuen API-Client hinzu:

1. Wechseln Sie zu „Verwaltung > Unternehmensintegration > API-Clients“, und klicken Sie auf „Neu“.

2. Geben Sie einen Namen (erforderlich) und eine Beschreibung (optional) ein.

3. Geben Sie die Client-ID ein, die Ihnen bereitgestellt wurde.

4. Wählen Sie in der Dropdownliste mindestens eine Berechtigung aus.

5. Geben Sie eine oder mehrere autorisierte IP-Adressen für diesen Client ein. Trennen Sie die Adressen durch Kommas.

6. Klicken Sie auf Speichern.

Wenn Sie dazu aufgefordert werden, kopieren Sie die Zeichenfolge für den geheimen Clientschlüssel. Sie benötigen diese Informationen (zusammen mit der Client-ID), um sich beim API-Gateway zu authentifizieren.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können aus dem Folgenden kopiert werden) sowie die Verbindungszeichenfolge und den Containernamen von Azure Blob Storage bereithalten.

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

   

2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.

3. Geben Sie die Lookout-Client-ID, den geheimen Lookout-Clientschlüssel, die Lookout-Basis-URL, die Microsoft Sentinel-Arbeitsbereich-ID, den gemeinsam verwendeten Microsoft Sentinel-Schlüssel ein.

4. Aktivieren Sie das Kontrollkästchen namens Ich stimme den oben genannten Geschäftsbedingungen zu.

5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittanweisungen, um den Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

   a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

   b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

   c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

   d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist.

   e. Runtime auswählen: Wählen Sie Python 3.8 aus.

   f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): „LookoutClientId“, „LookoutApiSecret“, „Baseurl“, „WorkspaceID“, „WorkspaceKey“, „logAnalyticsUri“ (optional)

• Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.