Łącznik usługi Lookout Cloud Security (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Ten łącznik używa połączenia interfejsu API REST usługi Agari do wypychania danych do usługi Log Analytics usługi Microsoft Sentinel.

atrybuty Połączenie or

atrybut Połączenie or opis
Kod aplikacji usługi Azure Functions https://aka.ms/sentinel-Lookout-functionapp
Tabele usługi Log Analytics LookoutCloudSecurity_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Powyższy lookout

Przykłady zapytań

Wszystkie dzienniki usługi Lookout Cloud Security

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować usługę Lookout Cloud Security dla usługi Microsoft Sentinel (przy użyciu usługi Azure Functions), upewnij się, że:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API REST usługi Agari w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Instrukcje

W ramach wymagań wstępnych dotyczących tej integracji należy najpierw skonfigurować klienta interfejsu API w konsoli zarządzania usługi Lookout. W konsoli zarządzania można dodać co najmniej jednego klienta i skonfigurować odpowiednie uprawnienia i akcje dla każdego z nich.

  1. Nazwa — nazwa nadana temu klientowi.

  2. Identyfikator klienta — unikatowy identyfikator podany dla tego klienta.

  3. Uprawnienia — uprawnienia włączone dla tego klienta. Sprawdzane uprawnienia to te, do których klient będzie mógł uzyskać dostęp. Wymienione opcje to Aktywność, Naruszenie, Anomalia, Szczegółowe informacje i Profil

  4. Adres URL usługi — adres URL używany do uzyskiwania dostępu do tego klienta. Musi zaczynać się od https://

  5. Autoryzowane adresy IP — prawidłowy adres IP lub adresy, które mają zastosowanie do tego klienta.

  6. Akcje — akcje, które można wykonać dla tego klienta. Kliknij ikonę akcji, którą chcesz wykonać. Edytowanie informacji o kliencie, wyświetlanie wpisu tajnego klienta lub usuwanie klienta.

Aby dodać nowego klienta interfejsu API:

  1. Przejdź do Administracja istration > Enterprise Integration API Clients (Klienci interfejsu API integracji > dla przedsiębiorstw) i kliknij pozycję New (Nowy).

  2. Wprowadź nazwę (wymaganą) i opis (opcjonalnie).

  3. Wprowadź podany identyfikator klienta.

  4. Wybierz co najmniej jedno uprawnienie z listy rozwijanej.

  5. Wprowadź co najmniej jeden autoryzowany adres IP dla tego klienta. Oddziel każdy adres przecinkiem.

  6. Kliknij opcję Zapisz.

Po wyświetleniu monitu skopiuj ciąg klucza tajnego klienta. Te informacje (wraz z identyfikatorem klienta) będą potrzebne do uwierzytelniania w bramie interfejsu API.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także usługę Azure Blob Storage parametry połączenia i nazwę kontenera.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Deploy To Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator klienta usługi Lookout, wpis tajny klienta usługi Lookout, adres URL bazy usługi Lookout, identyfikator obszaru roboczego usługi Microsoft Sentinel, klucz wspólny usługi Microsoft Sentinel

  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

  5. Podaj następujące informacje po wyświetleniu monitów:

    a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions.

    e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.

    f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.