Conector Lookout Cloud Security (mediante Azure Functions) para Microsoft Sentinel

Este conector usa una conexión de la API REST de Agari para insertar datos en Microsoft Sentinel Log Analytics.

Atributos del conector

Atributo del conector	Descripción
Código de aplicación de Azure Functions	https://aka.ms/sentinel-Lookout-functionapp
Tabla de Log Analytics	LookoutCloudSecurity_CL
Compatibilidad con reglas de recopilación de dato	No se admite actualmente.
Compatible con	Lookout

Ejemplos de consultas

Todos los registros de Lookout Cloud Security

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Requisitos previos

A fin de realizar la integración con Lookout Cloud Security para Microsoft Sentinel (mediante Azure Functions), asegúrese de que tiene:

• Permisos de Microsoft.Web/sites: Se requieren permisos de lectura y escritura para Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a la API REST de Agari para extraer registros en Microsoft Sentinel. Esto podría generar costes adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Instrucciones paso a paso

Como requisito previo para esta integración, primero debe configurar un cliente de API en la consola de administración de Lookout. En la consola de administración, puede agregar uno o varios clientes y configurar los permisos y acciones adecuados para cada uno.

1. Nombre: el nombre que se asigna a este cliente.

2. Id. de cliente: el identificador único que se proporcionó para este cliente.

3. Permisos: los permisos habilitados para este cliente. Los permisos que compruebe son aquellos a los que se permitirá el acceso del cliente. Las opciones enumeradas. son Activity, Violation, Anomaly, Insights y Profile

4. Dirección URL del servicio: la dirección URL que se usa para acceder a este cliente. Debe empezar por https://

5. Direcciones IP autorizadas: dirección IP o direcciones válidas que se aplican a este cliente.

6. Acciones: las acciones que puede realizar para este cliente. Haga clic en la acción que desee realizar. Editar información de cliente, mostrar el secreto de cliente o eliminar el cliente.

Para agregar un nuevo cliente de API, siga estos pasos:

1. Vaya a Administración > Integración empresarial > Clientes de API y haga clic en Nuevo.

2. Escriba un nombre (obligatorio) y una descripción (opcional).

3. Escriba el identificador de cliente que se le proporcionó.

4. Seleccione uno o varios permisos en la lista desplegable.

5. Escriba una o varias direcciones IP autorizadas para este cliente. Separe cada dirección con una coma.

6. Haga clic en Guardar.

Cuando se le solicite, copie la cadena del secreto del cliente. Necesitará esta información (junto con el identificador de cliente) para autenticarse en la puerta de enlace de API.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos, tenga a mano el id. del área de trabajo y la clave principal del área de trabajo (puede copiarlos de la siguiente lista), así como la cadena de conexión de Azure Blob Storage y el nombre del contenedor.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector de datos con una plantilla de ARM.

1. Haga clic en el botón Implementar en Azure que aparece a continuación.

   

2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

3. Escriba el identificador de cliente de Lookout, el secreto de cliente de Lookout, la dirección URL base de Lookout, el identificador del área de trabajo de Microsoft Sentinel y la clave compartida de Microsoft Sentinel.

4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

5. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Siga estas instrucciones paso a paso para implementar el conector de datos manualmente con Azure Functions (Implementación mediante Visual Studio Code).

1. Implementación de una aplicación de funciones

NOTA: Deberá preparar VS Code para el desarrollo de funciones de Azure.

1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

3. Seleccione la carpeta de nivel superior de los archivos extraídos.

4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.

5. Escriba la siguiente información cuando se le indique:

   a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

   b. Seleccionar la suscripción: elija la suscripción que desee usar.

   c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

   d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions.

   e. Seleccionar un entorno de ejecución: elija Python 3.8.

   f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

2. Configuración de la aplicación de funciones

1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
3. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (opcional)

• Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.