موصل SailPoint IdentityNow (باستخدام Azure Function) ل Microsoft Sentinel
يوفر موصل بيانات SailPoint IdentityNow القدرة على استيعاب أحداث البحث [SailPoint IdentityNow] في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يوفر الموصل للعملاء القدرة على استخراج معلومات التدقيق من مستأجر IdentityNow الخاص بهم. ويهدف إلى تسهيل إحضار نشاط مستخدم IdentityNow وأحداث الحوكمة إلى Microsoft Sentinel لتحسين الرؤى من حل مراقبة الأحداث والحوادث الأمنية.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
سمة الموصل | الوصف |
---|---|
إعدادات التطبيق | TENANT_ID SHARED_KEY الحد GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri (اختياري) |
التعليمات البرمجية لتطبيق وظائف Azure | https://aka.ms/sentinel-sailpointidentitynow-functionapp |
جدول (جداول) Log Analytics | SailPointIDN_Events_CL SailPointIDN_Triggers_CL |
دعم قواعد جمع البيانات | غير مدعوم حاليًا |
مدعومة من قبل | SailPoint |
عينات الاستعلام
أحداث بحث SailPointIDN - كافة الأحداث
SailPointIDN_Events_CL
| sort by TimeGenerated desc
مشغلات SailPointIDN - جميع المشغلات
SailPointIDN_Triggers_CL
| sort by TimeGenerated desc
المتطلبات الأساسية
للتكامل مع SailPoint IdentityNow (باستخدام Azure Function) تأكد من أن لديك:
- أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
- بيانات اعتماد مصادقة SailPoint IdentityNow API: TENANT_ID CLIENT_ID CLIENT_SECRET مطلوبة للمصادقة.
إرشادات تثبيت المورد
إشعار
يستخدم هذا الموصل Azure Functions للاتصال بواجهة برمجة تطبيقات SailPoint IdentityNow REST لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.
(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.
الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات SailPoint IdentityNow
اتبع الإرشادات للحصول على بيانات الاعتماد.
الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة
هام: قبل نشر موصل بيانات SailPoint IdentityNow، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).
الخيار 1 - قالب Azure Resource Manager (ARM)
استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات SailPoint IdentityNow باستخدام قالب ARM.
ملاحظة: ضمن نفس مجموعة الموارد، لا يمكنك خلط تطبيقات Windows وLinux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل معلومات أخرى وانشرها. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.
الخيار 2 - النشر اليدوي لوظائف Azure
استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات SailPoint IdentityNow يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).
1. نشر تطبيق الوظائف
ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.
قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.
حدد مجلد المستوى الأعلى من الملفات المستخرجة.
اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.
قدِّم المعلومات التالية في المطالبات:
أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.
ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.
جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)
د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال searcheventXXXXX).
هـ. حدد وقت التشغيل: اختر Python 3.8.
و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.
ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.
انتقل إلى مدخل Microsoft Azure لتكوين Function App.
2. تكوين تطبيق الوظائف
- في Function App، حدد Function App Name وحدد Configuration.
- في علامة التبويب Application settings ، حدد ** New application setting**.
- أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME سجل AzureWebJobsStorageAnalyticsUri (اختياري)
- استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي:
https://<CustomerId>.ods.opinsights.azure.us
. 3. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ