Lookout-anslutningsprogram (med Azure Function) för Microsoft Sentinel

  • Artikel

Lookout-dataanslutningsappen ger möjlighet att mata in Lookout-händelser i Microsoft Sentinel via API:et för mobilrisk. Mer information finns i API-dokumentationen. Lookout-dataanslutningsappen ger möjlighet att hämta händelser som hjälper till att undersöka potentiella säkerhetsrisker med mera.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller Lookout_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Jakt efter

Exempel på frågor

Lookout-händelser – alla aktiviteter.

Lookout_CL

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med Lookout (med Hjälp av Azure Function) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Autentiseringsuppgifter/behörigheter för API för mobilrisk: EnterpriseName och ApiKey krävs för API för mobilrisk. Mer information om API finns i dokumentationen. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

Installationsanvisningar för leverantör

Kommentar

Den här Lookout-dataanslutningsappen använder Azure Functions för att ansluta till API:et för mobilrisk för att hämta dess händelser till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

Kommentar

Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat LookoutEvents som distribueras med Microsoft Sentinel-lösningen.

STEG 1 – Konfigurationssteg för API:et för mobilrisk

Följ anvisningarna för att hämta autentiseringsuppgifterna.

STEG 2 – Följ instruktionerna nedan för att distribuera Lookout-dataanslutningen och den associerade Azure-funktionen

VIKTIGT: Innan du påbörjar distributionen av Lookout-dataanslutningsappen måste du ha arbetsyte-ID:t och arbetsytenyckeln redo (kan kopieras från följande).

Arbetsytenyckel

Mall för Azure Resource Manager (ARM)

Följ stegen nedan för automatisk distribution av Lookout-dataanslutningen med hjälp av en ARM-mall.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och region.

Obs! Inom samma resursgrupp kan du inte blanda Windows- och Linux-appar i samma region. Välj en befintlig resursgrupp utan Windows-appar i den eller skapa en ny resursgrupp. 3. Ange funktionsnamn, arbetsyte-ID, arbetsytenyckel, företagsnamn och API-nyckel och distribuera. 4. Klicka på Skapa för att distribuera.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.