Partilhar via

Conector Illumio SaaS (usando o Azure Functions) para Microsoft Sentinel

  • Artigo

O conector Illumio fornece a capacidade de ingerir eventos no Microsoft Sentinel. O conector oferece a capacidade de ingerir eventos auditáveis e de fluxo do bucket do AWS S3.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Código do aplicativo de função do Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Tabela(s) do Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Illumio

Exemplos de consulta

Amostra de eventos auditáveis

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Amostra de resumos de fluxo

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Pré-requisitos

Para integrar com o Illumio SaaS (usando o Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões de conta do SQS e do AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL é necessário. Consulte a documentação para saber mais sobre a extração de dados. Se você estiver usando o bucket s3 fornecido pela Illumio, entre em contato com o suporte da Illumio. A seu pedido, eles fornecerão o nome do bucket do AWS S3, o URL do AWS SQS e as credenciais da AWS para acessá-los.
  • Chave e segredo da API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET é necessário para que uma pasta de trabalho faça conexão com SaaS PCE e busque respostas de api.

Instruções de instalação do fornecedor

Nota

Esse conector usa o Azure Functions para se conectar ao AWS SQS/S3 para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização de API ou token(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

Pré-requisitos

  1. Verifique se o AWS SQS está configurado para o bucket do s3 do qual os logs de eventos de fluxo e auditáveis serão extraídos. No caso, Illumio fornece bucket, entre em contato com o suporte Illumio para sqs url, s3 bucket name e aws credentials.
  2. Aplicativo Register AAD - Para que o DCR (Regra de coleta de dados) autorize a ingestão de dados na análise de log, você deve usar o aplicativo Entra. 1. Siga as instruções aqui (etapas 1 a 5) para obter o ID do locatário do AAD, o ID do cliente do AAD e o segredo do cliente do AAD.
  3. Certifique-se de ter criado um espaço de trabalho de análise de log. Anote o nome e a região onde foi implantado.

Implementação

Escolha uma das abordagens nas opções abaixo. Use o modelo ARM abaixo para implantar recursos do Azure ou implantar o aplicativo de função manualmente.

  1. Modelo do Azure Resource Manager (ARM)

Use esse método para implantação automatizada de recursos do Azure usando um ARM Tempate.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Forneça os detalhes necessários, como o Microsoft Sentinel Workspace, credenciais da AWS, detalhes do Aplicativo do Azure AD e configurações de ingestão

Observação : é recomendável criar um novo grupo de recursos para implantação de aplicativo de função e recursos associados. 3. Marque a caixa de seleção Concordo com os termos e condições mencionados acima. 4. Clique em Comprar para implantar.

  1. Implante aplicativos de função adicionais para lidar com a escala

Use esse método para implantação automatizada de aplicativos de função adicionais usando um ARM Tempate.

  1. Clique no botão Implantar no Azure abaixo.

    Implementar no Azure

  2. Implantação manual do Azure Functions

Implantação via Visual Studio Code.

1. Implantar um aplicativo de função

  1. Baixe o arquivo do Aplicativo Azure Function. Extraia o arquivo para o computador de desenvolvimento local.
  2. Siga as instruções de implantação manual do aplicativo de função para implantar o aplicativo Azure Functions usando o VSCode.
  3. Após a implantação bem-sucedida do aplicativo de função, siga as próximas etapas para configurá-lo.

2. Configurar o aplicativo de função

  1. Siga a documentação para configurar todas as variáveis de ambiente necessárias e clique em Salvar. Certifique-se de reiniciar o aplicativo de função depois que as configurações forem salvas.

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.