موصل البحث (باستخدام Azure Function) ل Microsoft Sentinel
يوفر موصل بيانات Lookout القدرة على استيعاب أحداث Lookout في Microsoft Sentinel من خلال واجهة برمجة تطبيقات مخاطر الأجهزة المحمولة. راجع وثائق واجهة برمجة التطبيقات للحصول على مزيد من المعلومات. يوفر موصل بيانات البحث القدرة على الحصول على الأحداث التي تساعد على فحص المخاطر الأمنية المحتملة والمزيد.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | Lookout_CL |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | اطلاع |
عينات الاستعلام
أحداث البحث - جميع الأنشطة.
Lookout_CL
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع Lookout (باستخدام Azure Function) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- بيانات اعتماد/أذونات واجهة برمجة تطبيقات مخاطر الأجهزة المحمولة: مطلوب EnterpriseName و ApiKey لواجهة برمجة تطبيقات مخاطر الأجهزة المحمولة. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.
إرشادات تثبيت المورد
إشعار
يستخدم موصل بيانات البحث هذا وظائف Azure للاتصال بواجهة برمجة تطبيقات مخاطر الأجهزة المحمولة لسحب أحداثها إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.
إشعار
يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع LookoutEvents الذي يتم نشره باستخدام حل Microsoft Sentinel.
الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات مخاطر الأجهزة المحمولة
اتبع الإرشادات للحصول على بيانات الاعتماد.
الخطوة 2 - اتبع الإرشادات المذكورة أدناه لنشر موصل بيانات البحث ودالة Azure المقترنة
هام: قبل بدء نشر موصل بيانات Lookout ، تأكد من أن معرف مساحة العمل ومفتاح مساحة العمل جاهزين (يمكن نسخهما من ما يلي).
مفتاح مساحة العمل
قالب Azure Resource Manager (ARM)
اتبع الخطوات التالية للتوزيع التلقائي لموصل بيانات Lookout باستخدام قالب ARM.
انقر فوق الزر Deploy to Azure أدناه.
حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.
ملاحظة: ضمن نفس مجموعة الموارد، لا يمكنك خلط تطبيقات Windows وLinux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل اسم الدالة ومعرف مساحة العمل ومفتاح مساحة العمل واسم المؤسسة ومفتاح واجهة برمجة التطبيقات وانشر. 4. انقر فوق إنشاء للنشر.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.