Connector „SailPoint IdentityNow (über Azure-Funktion)“ für Microsoft Sentinel

  • Artikel

Mit dem IdentityNow-Datenconnector für SailPoint können SailPoint IdentityNow-Suchereignisse über die REST-API in Microsoft Sentinel erfasst werden. Der Connector ermöglicht es Kunden, Überwachungsinformationen aus ihrem IdentityNow-Mandanten zu extrahieren. Dadurch wird es noch einfacher, Benutzeraktivitäts- und Governanceereignisse von IdentityNow in Microsoft Sentinel zu integrieren, um Erkenntnisse aus Ihrer Überwachungslösung für Sicherheitsincidents und Ereignisse zu verbessern.

Connectorattribute

Connectorattribut BESCHREIBUNG
Anwendungseinstellungen TENANT_ID
SHARED_KEY
LIMIT
GRANT_TYPE
CUSTOMER_ID
CLIENT_ID
CLIENT_SECRET
AZURE_STORAGE_ACCESS_KEY
AZURE_STORAGE_ACCOUNT_NAME
AzureWebJobsStorage
logAnalyticsUri (optional)
Azure-Funktions-App-Code https://aka.ms/sentinel-sailpointidentitynow-functionapp
Log Analytics-Tabellen SailPointIDN_Events_CL
SailPointIDN_Triggers_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von SailPoint

Abfragebeispiele

SailPointIDN-Suchereignisse: Alle Ereignisse

SailPointIDN_Events_CL

| sort by TimeGenerated desc

SailPointIDN-Trigger: Alle Trigger

SailPointIDN_Triggers_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in SailPoint IdentityNow (über Azure-Funktion) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Sie benötigen Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Anmeldeinformationen für die SailPoint IdentityNow-API-Authentifizierung: Für die Authentifizierung werden TENANT_ID, CLIENT_ID und CLIENT_SECRET benötigt.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Functions, um eine Verbindung mit der SailPoint IdentityNow-REST-API herzustellen und die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Kosten für die Datenerfassung verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

(Optionaler Schritt) Speichern Sie den/die Autorisierungsschlüssel oder das/die Token für den Arbeitsbereich und die API sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die SailPoint IdentityNow-API

Rufen Sie die Anmeldeinformationen ab, wie in der Anleitung beschrieben.

SCHRITT 2: Wählen Sie EINE der beiden folgenden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen.

WICHTIG: Halten Sie für die Bereitstellung des SailPoint IdentityNow-Datenconnectors die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs bereit (können im Anschluss kopiert werden).

Option 1: ARM-Vorlage (Azure Resource Manager)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des SailPoint IdentityNow-Datenconnectors mithilfe einer ARM-Vorlage.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.

HINWEIS: Innerhalb derselben Ressourcengruppe können Sie keine Windows- und Linux-Apps in der gleichen Region mischen. Wählen Sie eine vorhandene Ressourcengruppe ohne enthaltene Windows-Apps aus, oder erstellen Sie eine neue Ressourcengruppe. 3. Geben Sie weitere Informationen ein, und führen Sie die Bereitstellung durch. 4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu. 5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den SailPoint IdentityNow-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code):

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

  1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

  2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

  3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

  4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

  5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

    a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

    b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

    c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

    d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (Beispiel: searcheventXXXXX).

    e. Runtime auswählen: Wählen Sie Python 3.8 aus.

    f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

  6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

  7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

  1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
  2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option **Neue Anwendungseinstellung** aus.
  3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten): „TENANT_ID“, „SHARED_KEY LIMIT“, „GRANT_TYPE“, „CUSTOMER_ID“, „CLIENT_ID“, „CLIENT_SECRET“, „AZURE_STORAGE_ACCESS_KEY“, „AZURE_STORAGE_ACCOUNT_NAME“, „AzureWebJobsStorage“, „logAnalyticsUri“ (optional)
  • Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us. 3. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.