Illumio SaaS (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
Az Illumio-összekötő lehetővé teszi az események Microsoft Sentinelbe való betöltését. Az összekötő lehetővé teszi az AWS S3 gyűjtőből származó naplózási és folyamatesemények betöltését.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Azure-függvényalkalmazás kódja | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
| Log Analytics-tábla(ok) | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Illumio |
Példák lekérdezésekre
Naplózható események mintája
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
Folyamatösszegzők mintája
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
Előfeltételek
Az Illumio SaaS-vel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- SQS- és AWS S3-fiók hitelesítő adatai/engedélyei: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL szükséges. Az adatok lekérésével kapcsolatos további információkért tekintse meg a dokumentációt. Ha az Illumio által biztosított s3 gyűjtőt használja, forduljon az Illumio ügyfélszolgálatához. Az Ön kérésére megadja az AWS S3 gyűjtő nevét, az AWS SQS URL-címét és az AWS hitelesítő adatait a hozzáféréshez.
- Illumio API-kulcs és titkos kód: ILLUMIO_API_KEY, ILLUMIO_API_SECRET szükséges ahhoz, hogy a munkafüzet kapcsolatot létesítsen az SaaS PCE-vel, és api-válaszokat kérjen le.
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik az AWS SQS/S3-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja az API engedélyezési kulcs(oka)t vagy jogkivonatokat az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Előfeltételek
- Győződjön meg arról, hogy az AWS SQS konfigurálva van ahhoz az s3 gyűjtőhöz, amelyből a folyamat- és naplózható eseménynaplók le lesznek kérve. Abban az esetben, ha az Illumio gyűjtőt biztosít, forduljon az Illumio ügyfélszolgálatához az sqs URL-cím, az s3 gyűjtő neve és az aws hitelesítő adatai miatt.
- AAD-alkalmazás regisztrálása – Ahhoz, hogy a DCR (adatgyűjtési szabály) hitelesíteni tudja az adatokat a log analyticsbe, Entra-alkalmazást kell használnia. 1. Kövesse az itt található utasításokat (1–5. lépés) az AAD-bérlőazonosító, az AAD-ügyfélazonosító és az AAD-ügyfél titkos kódjának lekéréséhez.
- Győződjön meg arról, hogy létrehozott egy log analytics-munkaterületet. Jegyezze fel a nevet és a régiót, ahol üzembe helyezték.
Telepítés
Válasszon az alábbi lehetőségek közül. Használja az alábbi ARM-sablont az Azure-erőforrások üzembe helyezéséhez, vagy a függvényalkalmazás manuális üzembe helyezéséhez.
- Azure Resource Manager-sablon (ARM)
Ez a módszer az Azure-erőforrások ARM-sablonnal történő automatizált üzembe helyezéséhez használható.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Adja meg a szükséges adatokat, például a Microsoft Sentinel-munkaterületet, az AWS-hitelesítő adatokat, az Azure AD-alkalmazás adatait és a betöltési konfigurációkat
MEGJEGYZÉS: Javasoljuk, hogy hozzon létre egy új erőforráscsoportot a függvényalkalmazás és a társított erőforrások üzembe helyezéséhez. 3. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket. 4. Az üzembe helyezéshez kattintson a Vásárlás gombra.
- További függvényalkalmazások üzembe helyezése a skálázás kezeléséhez
Ezzel a módszerrel automatikusan üzembe helyezhetők további függvényalkalmazások ARM-sablonnal.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Az Azure Functions manuális üzembe helyezése
Üzembe helyezés a Visual Studio Code-on keresztül.
1. Függvényalkalmazás üzembe helyezése
- Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.
- Kövesse a függvényalkalmazás manuális üzembe helyezési utasításait az Azure Functions-alkalmazás VSCode használatával történő üzembe helyezéséhez.
- A függvényalkalmazás sikeres üzembe helyezése után kövesse a konfigurálás következő lépéseit.
2. A függvényalkalmazás konfigurálása
- Kövesse a dokumentációt az összes szükséges környezeti változó beállításához, és kattintson a Mentés gombra. A beállítások mentése után győződjön meg arról, hogy újraindítja a függvényalkalmazást.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.