Connecteur Lookout Cloud Security (avec Azure Functions) pour Microsoft Sentinel

Ce connecteur utilise une connexion d’API REST Agari pour envoyer des données dans Microsoft Sentinel Log Analytics.

Attributs du connecteur

Attribut du connecteur	Description
Code d’application Azure Functions	https://aka.ms/sentinel-Lookout-functionapp
Table(s) Log Analytics	LookoutCloudSecurity_CL
Prise en charge des règles de collecte des données	Non prise en charge pour le moment
Pris en charge par	Lookout

Exemples de requête

Tous les journaux Lookout Cloud Security

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer Lookout Cloud Security pour Microsoft Sentinel (avec Azure Functions), assurez-vous de la présence des éléments suivants :

• Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à l’API REST Agari et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

Instructions pas à pas

Comme prérequis à cette intégration, vous devez d’abord configurer un client d’API sur la console de gestion de Lookout. À partir de la console de gestion, vous pouvez ajouter un ou plusieurs clients et configurer les autorisations et actions appropriées pour chacun d’eux.

1. Nom : le nom donné à ce client.

2. ID client : l’ID unique fourni pour ce client.

3. Autorisations : les autorisations activées pour ce client. Les autorisations que vous vérifiez sont celles auxquelles le client sera autorisé à accéder. Les options répertoriées sont Activité, Violation, Anomalie, Aperçus et Profil

4. URL du service : l’URL utilisée pour accéder à ce client. Elle doit commencer par https://

5. Adresses IP autorisées : l’adresse IP ou les adresses IP valides qui s’appliquent à ce client.

6. Actions : les actions que vous pouvez effectuer pour ce client. Cliquez sur l'icône pour l’action à exécuter. Modification des informations client, affichage de la clé secrète client ou suppression du client.

Pour ajouter un nouveau client API :

1. Accédez à Administration > Intégration Entreprise > Clients API et cliquez sur Nouveau.

2. Entrez un Nom (obligatoire) et une Description (facultatif).

3. Entrez l’ID client qui vous a été fourni.

4. Sélectionnez une ou plusieurs autorisations dans la liste déroulante.

5. Entrez une ou plusieurs adresses IP autorisées pour ce client. Séparez chaque adresse par une virgule.

6. Cliquez sur Enregistrer.

Lorsque vous y êtes invité, copiez la chaîne du secret du client. Vous aurez besoin de ces informations (ainsi que de l’ID client) pour vous authentifier auprès de la passerelle API.

ÉTAPE 2 : choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur de données, soyez en possession de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés depuis ce qui suit), ainsi que de la chaîne de connexion et du nom de conteneur du Stockage Blob Azure, déjà disponibles.

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données à l’aide d’un modèle ARM.

1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

   

2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

3. Entrez l’ID client Lookout, le secret client Lookout, l’URL de la base Lookout, l’ID d’espace de travail Microsoft Sentinel, laclé partagée Microsoft Sentinel

4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus.

5. Cliquez sur Acheter pour déployer.

Option 2 : déploiement manuel d’Azure Functions

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

5. Quand vous y êtes invité, indiquez les informations suivantes :

   a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

   b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

   c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

   d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions.

   e. Sélectionnez un runtime : choisissez Python 3.8.

   f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) : LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (facultatif)

• Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.