Microsoft Sentinel için SailPoint IdentityNow (Azure İşlevi kullanarak) bağlayıcısı

SailPoint IdentityNow veri bağlayıcısı, REST API aracılığıyla [SailPoint IdentityNow] arama olaylarını Microsoft Sentinel'e alma özelliği sağlar. Bağlayıcı, müşterilere IdentityNow kiracılarından denetim bilgilerini ayıklama olanağı sağlar. Güvenlik olayı ve olay izleme çözümünüzden gelen içgörüleri geliştirmek için IdentityNow kullanıcı etkinliği ve idare olaylarını Microsoft Sentinel'e getirmenizi daha da kolaylaştırmaya yöneliktir.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği	Açıklama
Uygulama ayarları	TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri (isteğe bağlı)
Azure işlev uygulaması kodu	https://aka.ms/sentinel-sailpointidentitynow-functionapp
Log Analytics tabloları	SailPointIDN_Events_CL SailPointIDN_Triggers_CL
Veri toplama kuralları desteği	Şu anda desteklenmiyor
Destekleyen	SailPoint

Sorgu örnekleri

SailPointIDN Arama Olayları - Tüm Olaylar

SailPointIDN_Events_CL

| sort by TimeGenerated desc

SailPointIDN Tetikleyicileri - Tüm Tetikleyiciler

SailPointIDN_Triggers_CL

| sort by TimeGenerated desc

Önkoşullar

SailPoint IdentityNow ile tümleştirmek için (Azure İşlevi kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

• Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
• SailPoint IdentityNow API Kimlik Doğrulaması Kimlik Bilgileri: kimlik doğrulaması için TENANT_ID, CLIENT_ID ve CLIENT_SECRET gereklidir.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere SailPoint IdentityNow REST API'sine bağlanmak için Azure İşlevleri kullanır. Bu, ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'da çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerleri depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

ADIM 1 - SailPoint IdentityNow API'sinin yapılandırma adımları

Kimlik bilgilerini almak için yönergeleri izleyin.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: SailPoint IdentityNow veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na sahip olun (aşağıdakilerden kopyalanabilir).

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak SailPoint IdentityNow veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

   

2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

NOT: Aynı kaynak grubunda, Aynı bölgedeki Windows ve Linux uygulamalarını karıştıramazsınız. Içinde Windows uygulamaları olmayan mevcut kaynak grubunu seçin veya yeni kaynak grubu oluşturun. 3. Diğer bilgileri girin ve dağıtın. 4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

SailPoint IdentityNow veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT: VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

2. VS Code'u başlatın. Ana menüde Dosya'yı ve ardından Klasör Aç'ı seçin.

3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini ve ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma geçin.

5. İstemlerde aşağıdaki bilgileri sağlayın:

   a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren klasöre göz atın.

   b. Abonelik'i seçin: Kullanılacak aboneliği seçin.

   c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

   d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (ör. searcheventXXXXXX).

   e. Çalışma zamanı seçin: Python 3.8'i seçin.

   f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve düşük maliyetler için Microsoft Sentinel'in bulunduğu bölgeyi seçin.

6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde** Yeni uygulama ayarı**'nı seçin.
3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri (isteğe bağlı)

• Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us. 3. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.