Microsoft Sentinel için Lookout (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Lookout veri bağlayıcısı, Mobil Risk API'sini kullanarak Lookout olaylarını Microsoft Sentinel'e alma özelliği sağlar. Daha fazla bilgi için API belgelerine bakın. Lookout veri bağlayıcısı, olası güvenlik risklerini ve daha fazlasını incelemeye yardımcı olan olayları alma olanağı sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Log Analytics tabloları Lookout_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Uyanık

Sorgu örnekleri

Lookout Olayları - Tüm Etkinlikler.

Lookout_CL

| sort by TimeGenerated desc

Önkoşullar

Lookout ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Mobil Risk API'si Kimlik Bilgileri/izinleri: EnterpriseName ve ApiKey , Mobil Risk API'si için gereklidir. API hakkında daha fazla bilgi edinmek için belgelere bakın. Tüm gereksinimleri denetleyin ve kimlik bilgilerini alma yönergelerini izleyin.

Satıcı yükleme yönergeleri

Dekont

Bu Lookout veri bağlayıcısı, olaylarını Microsoft Sentinel'e çekmek üzere Mobil Risk API'sine bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

Dekont

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan LookoutEvents'in beklendiği gibi çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

ADIM 1 - Mobil Risk API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Lookout veri bağlayıcısını ve ilişkili Azure İşlevini dağıtmak için aşağıdaki yönergeleri izleyin

ÖNEMLİ: Lookout veri bağlayıcısının dağıtımına başlamadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Anahtarı'nın hazır olduğundan emin olun (aşağıdakilerden kopyalanabilir).

Çalışma Alanı Anahtarı

Azure Resource Manager (ARM) Şablonu

ARM Şablonu kullanarak Lookout veri bağlayıcısının otomatik dağıtımı için aşağıdaki adımları izleyin.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Bölge'yi seçin.

NOT: Aynı kaynak grubunda, aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. İşlev Adı, Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı,Kurumsal Ad ve Api Anahtarı girin ve dağıtın. 4. Dağıtmak için Oluştur'a tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.