適用于 Microsoft Sentinel 的 Lookout Cloud Security (使用 Azure Functions) 連接器

  • 發行項

此連接器會使用 Agari REST API 連線將資料推送至 Microsoft Sentinel Log Analytics。

連線or 屬性

連線or 屬性 描述
Azure Functions 應用程式程式碼 https://aka.ms/sentinel-Lookout-functionapp
Log Analytics 資料表(s) LookoutCloudSecurity_CL
資料收集規則支援 目前不支援
支援者 望風

查詢範例

所有 Lookout Cloud Security 記錄

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

必要條件

若要與 Lookout Cloud Security for Microsoft Sentinel 整合(使用 Azure Functions),請確定您有:

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 Agari REST API,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面

(選擇性步驟) 在 Azure 金鑰保存庫中安全地儲存工作區和 API 授權金鑰或權杖。 Azure 金鑰保存庫提供安全的機制來儲存和擷取金鑰值。 請遵循這些指示 ,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。

逐步指示

首先,您必須在 Lookout 的管理主控台上設定 API 用戶端,作為此整合的必要條件。 您可以從管理主控台新增一或多個用戶端,並為每個用戶端設定適當的許可權和動作。

  1. 名稱 - 提供給此用戶端的名稱。

  2. 用戶端識別碼 - 為此用戶端提供的唯一識別碼。

  3. 許可權 - 啟用此用戶端的許可權。 您檢查的許可權是允許用戶端存取的許可權。 列出的選項包括 [活動]、[違規]、[異常]、[深入解析] 和 [設定檔]

  4. 服務 URL - 用來存取此用戶端的 URL。它必須以 HTTPs:// 開頭

  5. 授權 IP - 套用至此用戶端的有效 IP 位址或位址。

  6. 動作 - 您可以針對此用戶端採取的動作。 按一下您要執行的動作圖示。 編輯用戶端資訊、顯示用戶端密碼或刪除用戶端。

若要新增 API 用戶端:

  1. 移至 [管理員企業 > 整合 > API 用戶端],然後按一下 [新增]。

  2. 輸入 [名稱] 和 [描述] (選擇性)。

  3. 輸入提供給您的用戶端識別碼。

  4. 從下拉式清單中選取一或多個 [許可權]。

  5. 為此用戶端輸入一或多個授權的 IP 位址。 以逗號分隔每個位址。

  6. 按一下 [檔案] 。

出現提示時,複製用戶端秘密的字串。 您將需要此資訊(以及用戶端識別碼),才能向 API 閘道進行驗證。

步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式

重要事項: 部署資料連線器之前,請具有工作區識別碼和工作區主鍵(可複製下列專案),以及Azure Blob 儲存體 連接字串和容器名稱,可供使用。

選項 1 - Azure Resource Manager (ARM) 範本

使用這個方法來使用 ARM Tempate 自動部署資料連線器。

  1. 按一下下方的 [ 部署至 Azure ] 按鈕。

    Deploy To Azure

  2. 選取慣用 的訂用帳戶 資源群組 位置

  3. 輸入 Lookout 用戶端識別碼 Lookout 用戶端密碼 、Lookout 基底 URL Microsoft Sentinel 工作區識別碼 Microsoft Sentinel 共用金鑰

  4. 標示為 [我同意上述 條款及條件] 的核取方塊。

  5. 按一下 [ 購買 ] 以部署。

選項 2 - 手動部署 Azure Functions

使用下列逐步指示,透過 Azure Functions 手動部署資料連線器(透過 Visual Studio Code 部署)。

1.部署函式應用程式

注意: 您必須 準備 VS 程式碼 以進行 Azure 函式開發。

  1. 下載 Azure 函式應用程式 檔案。 將封存解壓縮到本機開發電腦。

  2. 啟動 VS Code。 在主功能表中選擇 [檔案],然後選取 [開啟資料夾]。

  3. 從擷取的檔案中選取最上層資料夾。

  4. 選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [ 部署至函式應用程式 ] 按鈕。 如果您尚未登入,請選擇 [活動] 列中的 Azure 圖示,然後在 [Azure: Functions ] 區域中,選擇 [登入 Azure 如果您已經登入],請移至下一個步驟。

  5. 提示中會提供下列資訊:

    a. 選取資料夾: 從工作區選擇資料夾,或流覽至包含函式應用程式的資料夾。

    b. 選取 [訂用帳戶: 選擇要使用的訂用帳戶]。

    c. 在 Azure 中選取 [建立新的函式應用程式] (不要選擇 [進階] 選項)

    d. 輸入函數應用程式的全域唯一名稱:鍵入 URL 路徑中的有效名稱。 您鍵入的名稱會經過驗證,確定其在 Azure Functions 中是唯一。

    e. 選取執行時間: 選擇 Python 3.8。

    f. 選取新資源的位置。 為了獲得更好的效能和較低的成本,請選擇 Microsoft Sentinel 所在的相同 區域

  6. 部署將會開始。 建立函式應用程式並套用部署套件之後,就會顯示通知。

  7. 移至 Azure 入口網站以取得函式應用程式設定。

2.設定函式應用程式

  1. 在函式應用程式中,選取 [函式應用程式名稱],然後選取 [ 設定 ]。
  2. 在 [ 應用程式設定] 索引標籤中,選取 [+ 新增應用程式設定 ]。
  3. 個別新增下列每個應用程式設定,其各自的字串值(區分大小寫):LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (選擇性)
  • 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,針對公用雲端,將值保留空白;針對 Azure GovUS 雲端環境,請以下列格式指定值: https://WORKSPACE_ID.ods.opinsights.azure.us
  1. 輸入所有應用程式設定之後,按一下 [ 儲存 ]。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案