Поделиться через

Соединитель Illumio SaaS (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель предоставляет возможность приема событий аудита и потоков из контейнера AWS S3.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Код приложения-функции Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Таблицы Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Illumio

Примеры запросов

Пример событий, доступных для аудита

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Пример сводок потока

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Необходимые компоненты

Чтобы интегрироваться с Illumio SaaS (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Дополнительные сведения о вытягивании данных см. в документации. Если вы используете контейнер s3, предоставляемый Illumio, обратитесь в службу поддержки Illumio. По запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним.
  • Ключ и секрет API Illumio: ILLUMIO_API_KEY ILLUMIO_API_SECRET требуется для книги, чтобы подключиться к SaaS PCE и получить ответы api.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к AWS SQS/S3 для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение ключей авторизации API или маркеров в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

Необходимые компоненты

  1. Убедитесь, что AWS SQS настроен для контейнера s3, из которого будут вытягиваться журналы событий, доступные для потоков и аудита. В случае, если Illumio предоставляет контейнер, обратитесь в службу поддержки Illumio для URL-адреса sqs, имени контейнера s3 и учетных данных AWS.
  2. Зарегистрируйте приложение AAD . Для DCR (правило сбора данных) для приема данных в log analytics необходимо использовать приложение Entra. 1. Следуйте инструкциям здесь (шаги 1–5), чтобы получить идентификатор клиента AAD, идентификатор клиента AAD и секрет клиента AAD.
  3. Убедитесь, что вы создали рабочую область Log Analytics. Обратите внимание на имя и регион, в котором он был развернут.

Развертывание

Выберите один из подходов из следующих параметров. Используйте приведенный ниже шаблон ARM для развертывания ресурсов Azure или развертывания приложения-функции вручную.

  1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания ресурсов Azure с помощью tempate ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Укажите необходимые сведения, такие как рабочая область Microsoft Sentinel, учетные данные AWS, сведения о приложении Azure AD и конфигурации приема

ПРИМЕЧАНИЕ. Рекомендуется создать новую группу ресурсов для развертывания приложения-функции и связанных ресурсов. 3. Установите флажок с меткой "Я согласен с условиями, указанными выше". 4. Нажмите кнопку " Купить ", чтобы развернуть.

  1. Развертывание дополнительных приложений-функций для обработки масштабирования

Используйте этот метод для автоматического развертывания дополнительных приложений-функций с помощью tempate ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Развертывание Функции Azure вручную

Развертывание с помощью Visual Studio Code.

1. Развертывание приложения-функции

  1. Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
  2. Следуйте инструкциям по развертыванию приложения-функции вручную, чтобы развернуть приложение Функции Azure с помощью VSCode.
  3. После успешного развертывания приложения-функции выполните следующие действия по его настройке.

2. Настройка приложения-функции

  1. Следуйте документации, чтобы настроить все необходимые переменные среды и нажмите кнопку "Сохранить". Убедитесь, что вы перезапустите приложение-функцию после сохранения параметров.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.