Поделиться через


Соединитель Lookout (с помощью функции Azure) для Microsoft Sentinel

Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Lookout_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Смотровой

Примеры запросов

События Lookout — все действия.

Lookout_CL

| sort by TimeGenerated desc

Необходимые компоненты

Чтобы интегрироваться с Lookout (с помощью функции Azure), убедитесь, что у вас есть:

Инструкции по установке поставщика

Примечание.

Этот соединитель данных Lookout использует Функции Azure для подключения к API мобильных рисков для извлечения событий в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

Примечание.

Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto, которая должна работать как ожидалось LookoutEvents , развернутая с помощью решения Microsoft Sentinel.

ШАГ 1. Действия по настройке ДЛЯ API мобильных рисков

Следуйте инструкциям , чтобы получить учетные данные.

ШАГ 2. Следуйте приведенным ниже упоминание инструкциям по развертыванию соединителя данных Lookout и связанной функции Azure

ВАЖНО. Прежде чем начать развертывание соединителя данных Lookout , убедитесь, что идентификатор рабочей области и ключ рабочей области готовы (можно скопировать из следующего раздела).

Ключ рабочей области

Шаблон Azure Resource Manager (ARM)

Выполните следующие действия для автоматического развертывания соединителя данных Lookout с помощью шаблона ARM.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и регион.

ПРИМЕЧАНИЕ. В одной группе ресурсов нельзя смешивать приложения Windows и Linux в одном регионе. Выберите существующую группу ресурсов без приложений Windows или создайте новую группу ресурсов. 3. Введите имя функции, идентификатор рабочей области, ключ рабочей области, имя предприятия и ключ API и развертывание. 4. Нажмите кнопку " Создать ", чтобы развернуть.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.