Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Коннектор Luminar IOCs и утекших учетных данных позволяет интегрировать данные IOC, основанные на аналитике, и записи об утечках, связанные с клиентом, которые идентифицируются Luminar.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Описание |
|---|---|
| Код приложения-функции Azure | https://aka.ms/sentinel-CognyteLuminar-functionapp |
| Таблицы Log Analytics | Индикатор Разведки Угроз |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Cognyte Luminar |
Примеры запросов
События на основе индикаторов Cognyte Luminar — все индикаторы Cognyte Luminar в Microsoft Sentinel Threat Intelligence.
ThreatIntelligenceIndicator
| where SourceSystem contains 'Luminar'
| sort by TimeGenerated desc
События индикаторов, отличных от Cognyte Luminar, — все индикаторы, отличные от Cognyte Luminar, в Microsoft Sentinel Threat Intelligence.
ThreatIntelligenceIndicator
| where SourceSystem !contains 'Luminar'
| sort by TimeGenerated desc
Предварительные условия
Чтобы интегрироваться с Luminar IOCs и утекающими учетными данными (используя функции Azure), убедитесь, что у вас есть:
- Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: для создания приложения функций требуются разрешения на чтение и запись в службе Azure Functions. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения REST API: идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar.
Инструкции по установке от поставщика
Примечание.
Этот соединитель использует функции Azure для подключения к API Cognyte Luminar для извлечения индикаторов компрометации и утекших учетных данных в Microsoft Sentinel. Это может привести к дополнительным затратам на прием и хранение данных в Hранилище BLOB-объектов Azure. Дополнительные сведения см. на странице цен Функции Azure и на странице цен Хранилище BLOB-объектов Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Используйте этот метод для автоматического развертывания соединителя данных с помощью шаблона ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите идентификатор приложения, идентификатор арендатора, секрет клиента, идентификатор клиента Luminar API, идентификатор учетной записи Luminar API, секрет клиента Luminar API, лимит, интервал времени и разверните.
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите кнопку " Купить" , чтобы развернуть.
Вариант 2. Развертывание Функции Azure вручную
Выполните следующие пошаговые инструкции по развертыванию соединителя данных Cognyte Luminar вручную с помощью Функции Azure (развертывание с помощью Visual Studio Code).
1. Развертывание приложения-функции
Примечание.
Вам потребуется подготовить VS Code для разработки функций Azure.
Скачайте файл приложения-функции Azure. Извлеките архив на локальный компьютер разработки.
Запустите VS Code. Выберите "Файл" в главном меню и выберите "Открыть папку".
Выберите папку верхнего уровня из извлеченных файлов.
Щелкните значок Azure на панели действий, а затем в области "Функции ", нажмите кнопку "Развернуть в приложении-функции ". Если вы еще не вошли, выберите значок Azure в строке действий, а затем в области "Функции Azure" выберите вход в Azure , если вы уже вошли, перейдите к следующему шагу.
Введите следующие сведения по соответствующим запросам:
a. Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
b. Выберите подписку: выберите используемую подписку.
с. Выберите "Создать приложение-функцию" в Azure (не выбирайте параметр "Дополнительно")
d. Введите глобально уникальное имя для приложения функций: введите имя, допустимое для использования в URL-пути. Имя, которое вы вводите, проверяется, чтобы убедиться, что оно уникально в функциях Azure. (например, CognyteLuminarXXX).
д) Выберите среду выполнения: выберите Python 3.11.
f. Выберите расположение для новых ресурсов. Для повышения производительности и снижения затрат выберите тот же регион , где находится Microsoft Sentinel.
Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
Перейдите на портал Azure для конфигурации приложения-функции.
2. Настройка приложения-функции
- В приложении-функции выберите имя приложения-функции и выберите "Конфигурация".
- На вкладке Параметры приложения выберите +Новый параметр приложения.
- Добавьте каждый из следующих параметров приложения по отдельности с соответствующими строковыми значениями (с учетом регистра): идентификатор приложения, идентификатор арендатора, клиентский секрет, идентификатор клиента Luminar API, идентификатор учетной записи Luminar API, клиентский секрет Luminar API, лимит, интервал времени. Используйте logAnalyticsUri, чтобы переопределить конечную точку API анализа журналов для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате:
https://<CustomerId>.ods.opinsights.azure.us - После ввода всех параметров приложения нажмите кнопку "Сохранить".
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.