Share via

Connector „Luminar IOCs and Leaked Credentials“ (mit Azure Functions) für Microsoft Sentinel

  • Artikel

Der Connector „Luminar IOCs and Leaked Credentials“ ermöglicht die Integration von Business Intelligence-basierten IOC-Daten und von Luminar identifizierten kundenbezogenen kompromittierte Datensätzen.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Azure-Funktions-App-Code https://aka.ms/sentinel-CognyteLuminar-functionapp
Log Analytics-Tabellen ThreatIntelligenceIndicator
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Cognyte Luminar

Abfragebeispiele

Cognyte Luminar-basierte Indikatorereignisse: alle Cognyte Luminar-Indikatoren in Microsoft Sentinel Threat Intelligence

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

Nicht Cognyte Luminar-basierte Indikatorereignisse: alle Nicht-Cognyte Luminar-Indikatoren in Microsoft Sentinel Threat Intelligence

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

Voraussetzungen

Zur Integration mit „Luminar IOCs and Leaked Credentials“ (mit Azure Functions) stellen Sie sicher, dass Sie folgendes haben:

  • Azure-Abonnement: Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Azure Active Directory() zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • REST-API-Anmeldeinformationen/-Berechtigungen: Luminar-Client-ID, geheimer Luminar-Clientschlüssel und Luminar-Konto-ID sind erforderlich.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Functions, um eine Verbindung mit der Cognyte Luminar-API herzustellen, um „Luminar IOCs and Leaked Credentials“ in Microsoft Sentinel abzurufen. Dadurch fallen ggf. zusätzliche Kosten für die Datenerfassung und das Speichern von Daten in Azure Blob Storage an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions und der Seite mit der Preisübersicht von Azure Blob Storage.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Datenconnectors mithilfe einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Geben Sie die Anwendungs-ID, die Mandanten-ID,den geheimen Clientschlüssel, die Client-ID der Luminar-API, die Konto-ID der Luminar API, den geheimen Clientschlüssel der Luminar-API, den Grenzwert und das Zeitintervall ein, und stellen Sie bereit.

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den Cognyte Luminar-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code):

1. Bereitstellen einer Funktions-App

HINWEIS: Zur Entwicklung von Azure-Funktionen müssen Sie VS Code vorbereiten.

  1. Laden Sie die Datei mit der Azure-Funktions-App herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

  2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

  3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

  4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

  5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

    a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

    b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

    c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

    d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. CognyteLuminarXXX).

    e. Runtime auswählen: Wählen Sie Python 3.8 aus.

    f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur bessere Leistung und tiefere Kosten dieselbe Region aus, in der sich Microsoft Sentinel befindet.

  6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

  7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

  1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
  2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
  3. Fügen Sie die folgenden Anwendungseinstellungen einzeln mit den jeweiligen Zeichenfolgenwerten hinzu (Groß- und Kleinschreibung wird beachtet): Anwendungs-ID Mandanten-ID Geheimer Clientschlüssel Luminar-API-Client-ID Luminar-API-Konto-ID Geheimer Clientschlüssel der Luminar-API Grenzwert Zeitintervall – verwenden Sie „logAnalyticsUri“, um den API-Endpunkt der Protokollanalyse für die dedizierte Cloud außer Kraft zu setzen. Für die öffentliche Cloud beispielsweise lassen Sie den Wert leer. Für die Azure-Cloudumgebung „GovUS“ geben Sie den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
  4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.