Lookout-Connector (über Azure Functions) für Microsoft Sentinel
Der Lookout-Datenconnector bietet die Möglichkeit zum Erfassen von Lookout-Ereignissen über die Mobile Risk-API in Microsoft Sentinel. Weitere Informationen hierzu finden Sie in der Dokumentation zur API. Der Lookout-Datenconnector bietet die Möglichkeit zum Abrufen von Ereignissen, die bei der Untersuchung potenzieller Sicherheitsrisiken und mehr helfen.
Connector-Attribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | Lookout_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | Lookout |
Abfragebeispiele
Lookout-Ereignisse – Alle Aktivitäten.
Lookout_CL
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in Lookout (mithilfe von Azure Functions) sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen/Berechtigungen der mobilen Risiko-API: EnterpriseName & ApiKey sind für die MOBILE Risiko-API erforderlich. Weitere Informationen zur API finden Sie in der Dokumentation. Überprüfen Sie alle Anforderungen, und folgen Sie den Anleitungen zum Abrufen von Anmeldeinformationen.
Installationsanweisungen des Anbieters
Hinweis
Dieser Lookout-Datenconnector verbindet sich über Azure Functions mit der Mobile Risk-API, um deren Protokolle in Microsoft Sentinel zu pullen. Dies könnte zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Hinweis
Dieser Daten-Connector ist abhängig von einem Parser, der auf einer Kusto-Funktion basiert, damit er als erwartetes LookoutEvents funktioniert, das mit der Microsoft Sentinel-Lösung bereitgestellt wird.
SCHRITT 1: Konfigurationsschritte für die Mobile Risk-API
Folgen Sie den Anleitungen zum Abrufen der Anmeldeinformationen.
SCHRITT 2: Folgen Sie den unten aufgeführten Anleitungen zum Bereitstellen des Lookout-Datenconnectors und der zugeordneten Azure-Funktion.
WICHTIG: Bevor Sie mit der Bereitstellung des Lookout-Datenconnectors beginnen, stellen Sie sicher, dass die Arbeitsbereichs-ID und der Arbeitsbereichsschlüssel bereit sind (können aus dem Folgenden kopiert werden).
Arbeitsbereichsschlüssel
Azure Resource Manager (ARM)-Vorlage
Führen Sie die folgenden Schritte für die automatisierte Bereitstellung des Lookout-Datenconnectors mithilfe einer ARM-Vorlage aus.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und die Region aus.
HINWEIS: Innerhalb einer Ressourcengruppe können Sie Windows- und Linux-Apps in derselben Region nicht miteinander kombinieren. Wählen Sie eine vorhandene Ressourcengruppe aus, die keine Windows-Apps enthält, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie den Funktionsnamen, die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den Enterprise-Namen und den API-Schlüssel ein, und stellen Sie ihn bereit. 4. Klicken Sie zum Bereitstellen auf Erstellen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.