موصل Lookout Cloud Security (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يستخدم هذا الموصل اتصال Agari REST API لدفع البيانات إلى Microsoft Sentinel Log Analytics.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinel-Lookout-functionapp
جدول (جداول) Log Analytics LookoutCloudSecurity_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل اطلاع

عينات الاستعلام

جميع سجلات Lookout Cloud Security

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Lookout Cloud Security ل Microsoft Sentinel (باستخدام Azure Functions) تأكد من أن لديك:

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات Agari REST لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

إرشادات خطوة بخطوة

كشرط أساسي لهذا التكامل، أولا، تحتاج إلى تكوين عميل API على وحدة تحكم إدارة Lookout. من وحدة تحكم الإدارة، يمكنك إضافة عميل واحد أو أكثر وتكوين الأذونات والإجراءات المناسبة لكل عميل.

  1. الاسم - الاسم الذي تم تسميته لهذا العميل.

  2. معرف العميل - المعرف الفريد الذي تم توفيره لهذا العميل.

  3. الأذونات - الأذونات الممكنة لهذا العميل. الأذونات التي تتحقق منها هي تلك التي سيسمح للعميل بالوصول إليها. الخيارات المدرجة هي النشاط، والانتهاكات، والشذوذ، والرؤى، وملف التعريف

  4. عنوان URL للخدمة - عنوان URL المستخدم للوصول إلى هذا العميل. يجب أن يبدأ https://

  5. عناوين IP المعتمدة - عنوان IP الصالح أو العناوين التي تنطبق على هذا العميل.

  6. الإجراءات - الإجراءات التي يمكنك اتخاذها لهذا العميل. انقر فوق أيقونة الإجراء الذي تريد تنفيذه. تحرير معلومات العميل أو عرض سر العميل أو حذف العميل.

لإضافة عميل API جديد:

  1. انتقل إلى مسؤول istration > Enterprise Integration > API Clients وانقر فوق New.

  2. أدخل الاسم (مطلوب) ووصف (اختياري).

  3. أدخل معرف العميل الذي تم توفيره لك.

  4. حدد إذنا واحدا أو أكثر من القائمة المنسدلة.

  5. أدخل عنوان IP معتمدا واحدا أو أكثر لهذا العميل. افصل كل عنوان بفاوصلة.

  6. انقر فوق حفظ.

عند المطالبة، انسخ السلسلة الخاصة بسر العميل. ستحتاج إلى هذه المعلومات (جنبا إلى جنب مع معرف العميل) للمصادقة على بوابة واجهة برمجة التطبيقات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل البيانات، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى سلسلة الاتصال تخزين Azure Blob واسم الحاوية، المتوفرين بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل البيانات باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    Deploy To Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف عميل البحث، سر عميل البحث، عنوان URL الأساسي للبحث، معرف مساحة عمل Microsoft Sentinel، المفتاح المشترك ل Microsoft Sentinel

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل البيانات يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

1. نشر تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدِّم المعلومات التالية في المطالبات:

    أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

    ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

    جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

    د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure.

    هـ. حدد وقت التشغيل: اختر Python 3.8.

    و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

2. تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
  3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.