Leer en inglés

Compartir a través de

Conector Illumio SaaS (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector Illumio proporciona la capacidad de ingerir eventos en Microsoft Sentinel. El conector proporciona la capacidad de ingerir eventos auditables y de flujo desde el cubo de AWS S3.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Código de la aplicación de funciones de Azure https://github.com/Azure/Azure-Sentinel/raw/master/Solutions/IllumioSaaS/Data%20Connectors/IllumioEventsConn.zip
Tabla de Log Analytics Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Illumio

Ejemplos de consultas

Ejemplo de eventos auditables

Kusto 
Illumio_Auditable_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Ejemplo de resúmenes de flujo

Kusto 
Illumio_Flow_Events_CL 

| sort by TimeGenerated desc 

| limit 10

Requisitos previos

Para realizar la integración con Illumio SaaS (mediante Azure Functions), asegúrese de tener lo siguiente:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • Los permisos y las credenciales de la cuenta de SQS y de AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL son obligatorios. Consulte la documentación para más información sobre la extracción de datos. Si usa el depósito de s3 proporcionado por Illumio, comuníquese con el soporte técnico de Illumio. Con su solicitud, le proporcionarán el nombre del depósito de AWS S3, la dirección URL de AWS SQS y las credenciales de AWS para el acceso.
  • Clave y secreto de la API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET es necesario para que un libro realice la conexión a PCE de SaaS y capture las respuestas de API.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a AWS SQS / S3 para extraer registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

Requisitos previos

  1. Asegúrese de que AWS SQS está configurado para el depósito de s3 desde el que se extraerán los registros de eventos de flujo y auditable. En caso de que Illumio proporcione un depósito, comuníquese con el soporte técnico de Illumio para la URL de SQS, nombre de depósito de S3 y credenciales de AWS.
  2. Registrar aplicación de AAD: para autenticar DCR (regla de recopilación de datos) para ingerir datos en Log Analytics, debe usar la aplicación Entra. 1. Siga las instrucciones que se indican aquí (pasos 1-5) para obtener el id. de inquilino de AAD, el id. de cliente de AAD y el secreto de cliente de AAD.
  3. Asegúrese de haber creado un área de trabajo de Log Analytics. Tenga en cuenta el nombre y la región donde se ha implementado.

Implementación

Elija uno de los enfoques de las opciones siguientes. Use la siguiente plantilla de ARM para implementar recursos de Azure o implementar la aplicación de funciones manualmente.

  1. Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada de recursos de Azure mediante una plantilla de ARM.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Proporcione los detalles necesarios, como el área de trabajo de Microsoft Sentinel, las credenciales de AWS, los detalles de la aplicación de Azure AD y las configuraciones de ingesta

NOTA: Se recomienda crear un nuevo grupo de recursos para la implementación de la aplicación de funciones y los recursos asociados. 3. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 4. Haga clic en Comprar para iniciar la implementación.

  1. Implementación de aplicaciones de funciones adicionales para controlar la escala

Use este método para la implementación automatizada de aplicaciones de funciones adicionales mediante una plantilla de ARM.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Implementación manual de Azure Functions

Implementación mediante Visual Studio Code.

1. Implementación de una aplicación de funciones

  1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.
  2. Siga las instrucciones de implementación manual de la aplicación de funciones para implementar la aplicación de Azure Functions mediante VSCode.
  3. Después de la implementación correcta de la aplicación de funciones, siga los siguientes pasos para configurarla.

2. Configuración de la aplicación de funciones

  1. Siga la documentación para configurar todas las variables de entorno necesarias y haga clic en Guardar. Asegúrese de reiniciar la aplicación de funciones una vez guardada la configuración.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.