共用方式為


適用於 Microsoft Sentinel 的 Illumio SaaS (使用 Azure Functions) 連接器

Illumio 連接器提供將事件內嵌至 Microsoft Sentinel 的功能。 連接器可讓您從 AWS S3 貯體擷取可稽核和流程事件。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
Azure 函數應用程式程式碼 https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
記錄分析資料表 Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
資料收集規則支援 目前不支援
支援者: 伊魯米奧

查詢範例

可稽核事件的範例

Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

流程摘要的範例

Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

必要條件

若要與 Illumio SaaS 整合(使用 Azure Functions),請確定您有:

  • Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions
  • SQS 和 AWS S3 帳戶認證/權限:需要 AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL。 請參閱文件以深入了解資料提取 (英文)。 如果您使用 Illumio 所提供的 s3 貯體,請連絡 Illumio 支持人員。 在您的要求中,他們會提供您 AWS S3 貯體名稱、AWS SQS URL 和 AWS 認證來存取它們。
  • Illumio API 金鑰和秘密活頁簿需要ILLUMIO_API_KEY,ILLUMIO_API_SECRET才能連線到 SaaS PCE 並擷取 API 回應。

廠商安裝指示

注意

此連接器會使用 Azure Functions 連線到 AWS SQS / S3,以將記錄提取至 Microsoft Sentinel。 這可能會導致額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面

(選擇性步驟) 將 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

必要條件

  1. 請確定已針對要提取流程和可稽核事件記錄的 s3 貯體設定 AWS SQS。 如果 Illumio 提供貯體,請連絡 Illumio 支援以取得 sqs url、s3 貯體名稱和 aws 認證。
  2. 註冊 AAD 應用程式 - 若要讓 DCR (資料收集規則) 驗證以將資料內嵌至記錄分析,您必須使用 Entra 應用程式。 1. 遵循這裡的指示(步驟 1-5) 取得 AAD 租用戶識別碼AAD 用戶端識別碼,以及 AAD 用戶端祕密
  3. 請確定您已建立記錄分析工作區。 請記下已部署的名稱和區域。

部署

從下列選項中選擇其中一種方法。 請使用下列 ARM 範本來部署 Azure 資源,或手動部署函式應用程式。

  1. Azure Resource Manager (ARM) 範本

使用此方法以使用ARM範本自動部署 Azure 資源。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure

  2. 提供必要的詳細數據,例如Microsoft Sentinel 工作區、AWS 認證、Azure AD 應用程式詳細數據和擷取組態

注意: 建議建立新的資源群組,以部署函式應用程式和相關聯的資源。 3.選取標示著 [我同意上述條款及條件] 的核取方塊。 4.按兩下 [ 購買 ] 以部署。

  1. 部署其他函式應用程式以處理調整

使用這個方法來使用ARM範本自動部署其他函式應用程式。

  1. 按一下下方的 [部署至 Azure] 按鈕。

    部署至 Azure

  2. 手動部署 Azure Functions

透過 Visual Studio Code 進行部署。

1.部署函數應用程式

  1. 下載 Azure 函數應用程式檔案。 將封存解壓縮至本機開發電腦。
  2. 請遵循函數應用程式手動部署指示,使用 VSCode 部署 Azure Functions 應用程式。
  3. 成功部署函數應用程式之後,請遵循後續步驟進行設定。

2.設定函數應用程式

  1. 請遵循文件來設定所有必要的環境變數,然後按兩下 [ 儲存]。 請務必在儲存設定之後重新啟動函式應用程式。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。