Megosztás a következőn keresztül:


Illumio SaaS (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

Az Illumio-összekötő lehetővé teszi az események Microsoft Sentinelbe való betöltését. Az összekötő lehetővé teszi az AWS S3 gyűjtőből származó naplózási és folyamatesemények betöltését.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Azure-függvényalkalmazás kódja https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Log Analytics-tábla(ok) Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Illumio

Példák lekérdezésekre

Naplózható események mintája

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Folyamatösszegzők mintája

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Előfeltételek

Az Illumio SaaS-vel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • SQS- és AWS S3-fiók hitelesítő adatai/engedélyei: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL szükséges. Az adatok lekérésével kapcsolatos további információkért tekintse meg a dokumentációt. Ha az Illumio által biztosított s3 gyűjtőt használja, forduljon az Illumio ügyfélszolgálatához. Az Ön kérésére megadja az AWS S3 gyűjtő nevét, az AWS SQS URL-címét és az AWS hitelesítő adatait a hozzáféréshez.
  • Illumio API-kulcs és titkos kód: ILLUMIO_API_KEY, ILLUMIO_API_SECRET szükséges ahhoz, hogy a munkafüzet kapcsolatot létesítsen az SaaS PCE-vel, és api-válaszokat kérjen le.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik az AWS SQS/S3-hoz a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja az API engedélyezési kulcs(oka)t vagy jogkivonatokat az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Előfeltételek

  1. Győződjön meg arról, hogy az AWS SQS konfigurálva van ahhoz az s3 gyűjtőhöz, amelyből a folyamat- és naplózható eseménynaplók le lesznek kérve. Abban az esetben, ha az Illumio gyűjtőt biztosít, forduljon az Illumio ügyfélszolgálatához az sqs URL-cím, az s3 gyűjtő neve és az aws hitelesítő adatai miatt.
  2. AAD-alkalmazás regisztrálása – Ahhoz, hogy a DCR (adatgyűjtési szabály) hitelesíteni tudja az adatokat a log analyticsbe, Entra-alkalmazást kell használnia. 1. Kövesse az itt található utasításokat (1–5. lépés) az AAD-bérlőazonosító, az AAD-ügyfélazonosító és az AAD-ügyfél titkos kódjának lekéréséhez.
  3. Győződjön meg arról, hogy létrehozott egy log analytics-munkaterületet. Jegyezze fel a nevet és a régiót, ahol üzembe helyezték.

Telepítés

Válasszon az alábbi lehetőségek közül. Használja az alábbi ARM-sablont az Azure-erőforrások üzembe helyezéséhez, vagy a függvényalkalmazás manuális üzembe helyezéséhez.

  1. Azure Resource Manager-sablon (ARM)

Ez a módszer az Azure-erőforrások ARM-sablonnal történő automatizált üzembe helyezéséhez használható.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Adja meg a szükséges adatokat, például a Microsoft Sentinel-munkaterületet, az AWS-hitelesítő adatokat, az Azure AD-alkalmazás adatait és a betöltési konfigurációkat

MEGJEGYZÉS: Javasoljuk, hogy hozzon létre egy új erőforráscsoportot a függvényalkalmazás és a társított erőforrások üzembe helyezéséhez. 3. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket. 4. Az üzembe helyezéshez kattintson a Vásárlás gombra.

  1. További függvényalkalmazások üzembe helyezése a skálázás kezeléséhez

Ezzel a módszerrel automatikusan üzembe helyezhetők további függvényalkalmazások ARM-sablonnal.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Az Azure Functions manuális üzembe helyezése

Üzembe helyezés a Visual Studio Code-on keresztül.

1. Függvényalkalmazás üzembe helyezése

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.
  2. Kövesse a függvényalkalmazás manuális üzembe helyezési utasításait az Azure Functions-alkalmazás VSCode használatával történő üzembe helyezéséhez.
  3. A függvényalkalmazás sikeres üzembe helyezése után kövesse a konfigurálás következő lépéseit.

2. A függvényalkalmazás konfigurálása

  1. Kövesse a dokumentációt az összes szükséges környezeti változó beállításához, és kattintson a Mentés gombra. A beállítások mentése után győződjön meg arról, hogy újraindítja a függvényalkalmazást.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.