Соединитель Lookout Cloud Security (с помощью Функции Azure) для Microsoft Sentinel

Этот соединитель использует подключение REST API Agari для отправки данных в Microsoft Sentinel Log Analytics.

атрибуты Подключение or

Атрибут соединителя	Description
Код приложения функций Azure	https://aka.ms/sentinel-Lookout-functionapp
Таблицы Log Analytics	LookoutCloudSecurity_CL
Поддержка правил сбора данных	В настоящий момент не поддерживается
Поддерживается	Смотровой

Примеры запросов

Все журналы Lookout Cloud Security

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Lookout Cloud Security для Microsoft Sentinel (с помощью Функции Azure), убедитесь, что у вас есть:

• Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к REST API Agari для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Пошаговые инструкции

Сначала необходимо настроить клиент API в консоли управления Lookout. В консоли управления можно добавить один или несколько клиентов и настроить соответствующие разрешения и действия для каждого из них.

1. Имя — имя, заданное этому клиенту.

2. Идентификатор клиента — уникальный идентификатор, предоставленный для этого клиента.

3. Разрешения — разрешения, включенные для этого клиента. Разрешения, которые вы проверка, — это те разрешения, к которым клиент будет иметь доступ. Перечисленные параметры: "Действия", "Нарушение", "Аномалия", "Аналитика" и "Профиль"

4. URL-адрес службы — URL-адрес, используемый для доступа к этому клиенту. Он должен начинаться с https://

5. Авторизованные IP-адреса — допустимый IP-адрес или адреса, которые применяются к этому клиенту.

6. Действия — действия, которые можно предпринять для этого клиента. Щелкните значок действия, которое вы хотите выполнить. Изменение сведений о клиенте, отображение секрета клиента или удаление клиента.

Чтобы добавить новый клиент API, выполните следующие действия.

1. Перейдите к Администратор клиентам > API интеграции > Enterprise и нажмите кнопку "Создать".

2. Введите имя (обязательно) и описание (необязательно).

3. Введите идентификатор клиента, предоставленный вам.

4. Выберите один или несколько разрешений из раскрывающегося списка.

5. Введите один или несколько авторизованных IP-адресов для этого клиента. Разделите каждый адрес с запятыми.

6. Нажмите кнопку Сохранить.

При появлении запроса скопируйте строку для секрета клиента. Эти сведения (вместе с идентификатором клиента) потребуются для проверки подлинности в шлюзе API.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя данных укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также Хранилище BLOB-объектов Azure строка подключения и имя контейнера.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя данных с помощью tempate ARM.

1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

   

2. Выберите предпочтительную подписку, группу ресурсов и расположение.

3. Введите идентификатор клиента Lookout, секрет клиента Lookout, URL-адрес базы lookout, идентификатор рабочей области Microsoft Sentinel, общий ключ Microsoft Sentinel

4. Пометьте проверка box с меткой "Я согласен с условиями, указанными выше".

5. Нажмите кнопку " Купить" , чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя данных вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).

1. Развертывание приложения-функции

ПРИМЕЧАНИЕ. Вам потребуется подготовить VS Code для разработки функций Azure.

1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.

2. Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".

3. Выберите папку верхнего уровня из извлеченных файлов.

4. Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.

5. Введите следующие сведения по соответствующим запросам:

   a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.

   b. Выберите подписку: выберите используемую подписку.

   c. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")

   d. Введите глобально уникальное имя приложения-функции: введите допустимое имя в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure.

   д) Выберите среду выполнения: выберите Python 3.8.

   f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.

6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.

7. Перейдите на портал Azure для конфигурации приложения-функции.

2. Настройка приложения-функции

1. В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): LookoutClientId LookoutApiSecret Baseurl WorkspaceKey logAnalyticsUri (необязательно)

• Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://WORKSPACE_ID.ods.opinsights.azure.us

4. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.