Konektor Illumio SaaS (menggunakan Azure Functions) untuk Microsoft Sentinel

Konektor Illumio menyediakan kemampuan untuk menyerap peristiwa ke Microsoft Azure Sentinel. Konektor menyediakan kemampuan untuk menyerap peristiwa yang dapat diaudit dan mengalir dari wadah AWS S3.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

Atribut konektor

Kueri sampel

Sampel peristiwa yang dapat diaudit

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Sampel ringkasan alur

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Prasyarat

Untuk berintegrasi dengan Illumio SaaS (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
• Kredensial/izin akun SQS dan AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang penarikan data. Jika Anda menggunakan wadah s3 yang disediakan oleh Illumio, hubungi dukungan Illumio. Atas permintaan Anda, mereka akan memberi Anda nama wadah AWS S3, url AWS SQS, dan kredensial AWS untuk mengaksesnya.
• Kunci dan rahasia Illumio API: ILLUMIO_API_KEY, ILLUMIO_API_SECRET diperlukan agar buku kerja membuat koneksi ke SaaS PCE dan mengambil respons api.

Instruksi penginstalan vendor

(Langkah Opsional) Simpan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Prasyarat

1. Pastikan AWS SQS dikonfigurasi untuk wadah s3 tempat alur dan log peristiwa yang dapat diaudit akan ditarik. Jika, Illumio menyediakan wadah, silakan hubungi dukungan Illumio untuk url sqs, nama wadah s3, dan kredensial aws.
2. Daftarkan aplikasi AAD - Untuk DCR (Aturan pengumpulan data) untuk mengautentikasi untuk menyerap data ke dalam analitik log, Anda harus menggunakan aplikasi Entra. 1. Ikuti instruksi di sini (langkah 1-5) untuk mendapatkan Id Penyewa AAD, Id Klien AAD, dan Rahasia Klien AAD.
3. Pastikan Anda telah membuat ruang kerja analitik log. Harap perhatikan nama dan wilayah tempat nama dan wilayah tersebut disebarkan.

Penyebaran

Pilih salah satu pendekatan dari opsi di bawah ini. Gunakan templat ARM di bawah ini untuk menyebarkan sumber daya azure atau menyebarkan aplikasi fungsi secara manual.

1. Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis sumber daya Azure menggunakan Templat ARM.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Berikan detail yang diperlukan seperti Ruang Kerja Microsoft Sentinel, kredensial AWS, detail Aplikasi Azure AD, dan konfigurasi penyerapan

CATATAN: Disarankan untuk membuat Grup Sumber Daya baru untuk penyebaran aplikasi fungsi dan sumber daya terkait. 3. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 4. Klik Beli untuk menyebarkan.

2. Menyebarkan aplikasi fungsi tambahan untuk menangani skala

Gunakan metode ini untuk penyebaran otomatis aplikasi fungsi tambahan menggunakan Templat ARM.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Penyebaran Manual Azure Functions

Penyebaran melalui Visual Studio Code.

1. Menyebarkan Aplikasi Fungsi

1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.
2. Ikuti instruksi penyebaran manual aplikasi fungsi untuk menyebarkan aplikasi Azure Functions menggunakan VSCode.
3. Setelah penyebaran aplikasi fungsi berhasil, ikuti langkah berikutnya untuk mengonfigurasinya.

2. Mengonfigurasi Aplikasi Fungsi

1. Ikuti dokumentasi untuk menyiapkan semua variabel lingkungan yang diperlukan dan klik Simpan. Pastikan Anda memulai ulang aplikasi fungsi setelah pengaturan disimpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.