適用於 Microsoft Sentinel 的 Illumio SaaS (使用 Azure Functions) 連接器
Illumio 連接器提供將事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從 AWS S3 貯體擷取可稽核和流程事件。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
Azure 函數應用程式程式碼 | https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip |
記錄分析資料表 | Illumio_Auditable_Events_CL Illumio_Flow_Events_CL |
資料收集規則支援 | 目前不支援 |
支援者: | 伊魯米奧 |
查詢範例
可稽核事件的範例
Illumio_Auditable_Events_CL
| sort by TimeGenerated desc
| limit 10
流程摘要的範例
Illumio_Flow_Events_CL
| sort by TimeGenerated desc
| limit 10
必要條件
若要與 Illumio SaaS 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- SQS 和 AWS S3 帳戶認證/權限:需要 AWS_SECRET、AWS_REGION_NAME、AWS_KEY、QUEUE_URL。 請參閱文件以深入了解資料提取 (英文)。 如果您使用 Illumio 所提供的 s3 貯體,請連絡 Illumio 支持人員。 在您的要求中,他們會提供您 AWS S3 貯體名稱、AWS SQS URL 和 AWS 認證來存取它們。
- Illumio API 金鑰和秘密:活頁簿需要ILLUMIO_API_KEY,ILLUMIO_API_SECRET才能連線到 SaaS PCE 並擷取 API 回應。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 AWS SQS / S3,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
必要條件
- 請確定已針對要提取流程和可稽核事件記錄的 s3 貯體設定 AWS SQS。 如果 Illumio 提供貯體,請連絡 Illumio 支援以取得 sqs url、s3 貯體名稱和 aws 認證。
- 註冊 AAD 應用程式 - 若要讓 DCR (資料收集規則) 驗證以將資料內嵌至記錄分析,您必須使用 Entra 應用程式。 1. 遵循這裡的指示(步驟 1-5) 取得 AAD 租用戶識別碼、AAD 用戶端識別碼,以及 AAD 用戶端祕密。
- 請確定您已建立記錄分析工作區。 請記下已部署的名稱和區域。
部署
從下列選項中選擇其中一種方法。 請使用下列 ARM 範本來部署 Azure 資源,或手動部署函式應用程式。
- Azure Resource Manager (ARM) 範本
使用此方法以使用ARM範本自動部署 Azure 資源。
注意: 建議建立新的資源群組,以部署函式應用程式和相關聯的資源。 3.選取標示著 [我同意上述條款及條件] 的核取方塊。 4.按兩下 [ 購買 ] 以部署。
- 部署其他函式應用程式以處理調整
使用這個方法來使用ARM範本自動部署其他函式應用程式。
透過 Visual Studio Code 進行部署。
1.部署函數應用程式
- 下載 Azure 函數應用程式檔案。 將封存解壓縮至本機開發電腦。
- 請遵循函數應用程式手動部署指示,使用 VSCode 部署 Azure Functions 應用程式。
- 成功部署函數應用程式之後,請遵循後續步驟進行設定。
2.設定函數應用程式
- 請遵循文件來設定所有必要的環境變數,然後按兩下 [ 儲存]。 請務必在儲存設定之後重新啟動函式應用程式。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。