Share via

Łącznik Luminar IOCs i Leaked Credentials (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik Luminar IOCs i Leaked Credentials umożliwia integrację danych IOC opartych na inteligencji i ujawnionych rekordów klientów zidentyfikowanych przez Luminar.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Kod aplikacji funkcji platformy Azure https://aka.ms/sentinel-CognyteLuminar-functionapp
Tabele usługi Log Analytics ThreatIntelligenceIndicator
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Cognyte Luminar

Przykłady zapytań

Zdarzenia wskaźników opartych na cognyte Luminar — wszystkie wskaźniki Cognyte Luminar w usłudze Microsoft Sentinel Threat Intelligence.

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

Zdarzenia wskaźników innych niż cognyte Luminar oparte na wskaźnikach — wszystkie wskaźniki nie cognyte Luminar w usłudze Microsoft Sentinel Threat Intelligence.

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z interfejsami IOCs Luminar i Leaked Credentials (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Subskrypcja platformy Azure: Subskrypcja platformy Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: identyfikator klienta Luminar, klucz tajny klienta Luminar i identyfikator konta Luminar są wymagane.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z interfejsem API Cognyte Luminar w celu ściągnięcia IOC Luminar i wycieku poświadczeń do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych i przechowywania danych w kosztach usługi Azure Blob Storage. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions i cennik usługi Azure Blob Storage.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika danych przy użyciu szablonu usługi ARM.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator aplikacji, identyfikator dzierżawy, klucz tajny klienta, identyfikator klienta interfejsu API Luminar, identyfikator konta interfejsu API Luminar, wpis tajny klienta interfejsu API Luminar, limit, timeInterval i wdróż.

  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Cognyte Luminar za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

1. Wdrażanie aplikacji funkcji

UWAGA: Należy przygotować program VS Code do tworzenia funkcji platformy Azure.

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

  5. Podaj następujące informacje po wyświetleniu monitów:

    a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. CognyteLuminarXXX).

    e. Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.

    f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

2. Konfigurowanie aplikacji funkcji

  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami ciągu (z uwzględnieniem wielkości liter): identyfikator dzierżawy identyfikatora dzierżawy identyfikator klienta identyfikatora klienta interfejsu API Luminar Identyfikator klienta identyfikatora interfejsu API Luminar Identyfikator konta interfejsu API Luminar Identyfikator klienta interfejsu API Luminar Limit limitu czasu — użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; W przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us
  4. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.