مشاركة عبر

موصل Illumio SaaS (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل Illumio القدرة على استيعاب الأحداث في Microsoft Sentinel. يوفر الموصل القدرة على استيعاب الأحداث القابلة للتدقيق والتدفق من مستودع AWS S3.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الموصل

سمة الموصل ‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
جدول (جداول) Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل Illumio

عينات الاستعلام

عينة من الأحداث القابلة للتدقيق

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

عينة من ملخصات التدفق

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

المتطلبات الأساسية

للتكامل مع Illumio SaaS (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات حساب SQS وAWS S3: مطلوب AWS_SECRET AWS_REGION_NAME AWS_KEY QUEUE_URL. راجع الوثائق لمعرفة المزيد حول سحب البيانات. إذا كنت تستخدم مستودع s3 الذي يوفره Illumio، فاتصل بدعم Illumio. بناء على طلبك، سيوفرون لك اسم مستودع AWS S3 وعنوان URL ل AWS SQS وبيانات اعتماد AWS للوصول إليها.
  • مفتاح وسر واجهة برمجة تطبيقات Illumio: ILLUMIO_API_KEY، ILLUMIO_API_SECRET مطلوب لمصنف للاتصال ب SaaS PCE وجلب استجابات واجهة برمجة التطبيقات.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب AWS SQS / S3 لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مفتاح (مفاتيح) تخويل API بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

المتطلبات الأساسية

  1. تأكد من تكوين AWS SQS لمجموعة s3 التي سيتم سحب التدفق وسجلات الأحداث القابلة للتدقيق منها. في حالة توفر Illumio مستودعا، يرجى الاتصال بدعم Illumio ل url sqs واسم مستودع s3 وبيانات اعتماد aws.
  2. تسجيل تطبيق AAD - بالنسبة إلى DCR (قاعدة جمع البيانات) للمصادقة لاستيعاب البيانات في تحليلات السجل، يجب عليك استخدام تطبيق Entra. 1. اتبع الإرشادات هنا (الخطوات من 1 إلى 5) للحصول على معرف مستأجر AAD ومعرف عميل AAD وسر عميل AAD.
  3. تأكد من إنشاء مساحة عمل تحليلات السجل. يرجى الاحتفاظ بالاسم والمنطقة التي تم نشرها فيها.

التوزيع

اختر أحد النهج من الخيارات أدناه. إما استخدام قالب ARM أدناه لنشر موارد azure أو توزيع تطبيق الوظائف يدويا.

  1. قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموارد Azure باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. توفير التفاصيل المطلوبة مثل مساحة عمل Microsoft Sentinel وبيانات اعتماد AWS وتفاصيل تطبيق Azure AD وتكوينات الاستيعاب

ملاحظة: يوصى بإنشاء مجموعة موارد جديدة لنشر تطبيق الوظائف والموارد المرتبطة بها. 3. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 4. انقر فوق شراء للنشر.

  1. نشر تطبيقات وظائف إضافية للتعامل مع المقياس

استخدم هذا الأسلوب للتوزيع التلقائي لتطبيقات الوظائف الإضافية باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. النشر اليدوي لوظائف Azure

النشر عبر Visual Studio Code.

1. نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق Azure Functions باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

2. تكوين تطبيق الوظائف

  1. اتبع الوثائق لإعداد كافة متغيرات البيئة المطلوبة وانقر فوق حفظ. تأكد من إعادة تشغيل تطبيق الوظائف بمجرد حفظ الإعدادات.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.