Lookout-Connector (über Azure Functions) für Microsoft Sentinel
Der Lookout-Datenconnector bietet die Möglichkeit zum Erfassen von Lookout-Ereignissen über die Mobile Risk-API in Microsoft Sentinel. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Lookout-Datenconnector bietet die Möglichkeit zum Abrufen von Ereignissen, die bei der Untersuchung potenzieller Sicherheitsrisiken und mehr helfen.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Lookout_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Lookout |
Abfragebeispiele
Lookout-Ereignisse – Alle Aktivitäten.
Lookout_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Lookout (mithilfe von Azure Functions) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen/Berechtigungen für die Mobile Risk-API: EnterpriseName und ApiKey sind für die Mobile Risk-API erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation. Überprüfen Sie alle Anforderungen, und folgen Sie den Anleitungen zum Abrufen von Anmeldeinformationen.
Installationsanweisungen des Anbieters
Hinweis
Dieser Lookout-Datenconnector verbindet sich über Azure Functions mit der Mobile Risk-API, um deren Protokolle in Microsoft Sentinel zu pullen. Dies könnte zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Hinweis
Dieser Daten-Connector ist abhängig von einem Parser, der auf einer Kusto-Funktion basiert, damit er als erwartetes LookoutEvents funktioniert, das mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SCHRITT 1: Konfigurationsschritte für die Mobile Risk-API
Folgen Sie den Anleitungen zum Abrufen der Anmeldeinformationen.
SCHRITT 2: Folgen Sie den unten aufgeführten Anleitungen zum Bereitstellen des Lookout-Datenconnectors und der zugeordneten Azure-Funktion.
WICHTIG: Bevor Sie mit der Bereitstellung des Lookout-Datenconnectors beginnen, stellen Sie sicher, dass die Arbeitsbereichs-ID und der Arbeitsbereichsschlüssel bereit sind (können aus dem Folgenden kopiert werden).
Arbeitsbereichsschlüssel
Azure Resource Manager (ARM)-Vorlage
Führen Sie die folgenden Schritte für die automatisierte Bereitstellung des Lookout-Datenconnectors mithilfe einer ARM-Vorlage aus.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.
HINWEIS: Innerhalb einer Ressourcengruppe können Sie Windows- und Linux-Apps in derselben Region nicht miteinander kombinieren. Wählen Sie eine vorhandene Ressourcengruppe aus, die keine Windows-Apps enthält, oder erstellen Sie eine neue Ressourcengruppe. 3. 3. Geben Sie Funktionsname, Arbeitsbereichs-ID, Arbeitsbereichsschlüssel, Unternehmensname und API-Schlüssel ein, und führen Sie die Bereitstellung durch. 4. Klicken Sie zum Bereitstellen auf Erstellen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.