Connecteur SailPoint IdentityNow (avec Azure Function) pour Microsoft Sentinel

  • Article

Le connecteur de données SailPoint IdentityNow permet d’ingérer les événements de recherche [SailPoint IdentityNow] dans Microsoft Sentinel via l’API REST. Le connecteur permet aux clients d’extraire des informations d’audit de leur locataire IdentityNow. Il est destiné à faciliter encore l’intégration des événements d’activité et de gouvernance des utilisateurs IdentityNow dans Microsoft Sentinel afin d’améliorer les insights de votre solution de surveillance des incidents et des événements de sécurité.

Attributs du connecteur

Attribut du connecteur Description
Paramètres d’application TENANT_ID
SHARED_KEY
LIMIT
GRANT_TYPE
CUSTOMER_ID
CLIENT_ID
CLIENT_SECRET
AZURE_STORAGE_ACCESS_KEY
AZURE_STORAGE_ACCOUNT_NAME
AzureWebJobsStorage
logAnalyticsUri (facultatif)
Code d’application de fonction Azure https://aka.ms/sentinel-sailpointidentitynow-functionapp
Table(s) Log Analytics SailPointIDN_Events_CL
SailPointIDN_Triggers_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par SailPoint

Exemples de requête

Événements de recherche SailPointIDN - Tous les événements

SailPointIDN_Events_CL

| sort by TimeGenerated desc

Déclencheurs SailPointIDN - Tous les déclencheurs

SailPointIDN_Triggers_CL

| sort by TimeGenerated desc

Prérequis

Pour intégrer SailPoint IdentityNow (avec Azure Function), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification de l’API SailPoint IdentityNow : TENANT_ID, CLIENT_ID et CLIENT_SECRET sont requis pour l’authentification.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à l’API REST SailPoint IdentityNow et ainsi extraire les journaux dans Microsoft Sentinel. Il peut en résulter des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Étapes de configuration pour l’API SailPoint IdentityNow

Suivez les instructions pour obtenir les informations d’identification.

ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur de données SailPoint IdentityNow, assurez-vous de disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (vous pouvez les copier à partir de ce qui suit).

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur de données SailPoint IdentityNow à l’aide d’un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

REMARQUE : au sein du même groupe de ressources, vous ne pouvez pas mélanger des applications Windows et Linux dans la même région. Sélectionnez un groupe de ressources existant sans applications Windows ou créez un groupe de ressources. 3. Entrez les autres informations et déployez. 4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.

Option 2 – Déploiement manuel d’Azure Functions

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données SailPoint IdentityNow avec Azure Functions (déploiement via Visual Studio Code).

1. Déployer une application de fonction

REMARQUE : vous devrez préparer le code VS pour le développement d’une fonction Azure.

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

  2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

  3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

  4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

  5. Quand vous y êtes invité, indiquez les informations suivantes :

    a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

    b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

    c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

    d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (par exemple, searcheventXXXXX).

    e. Sélectionnez un runtime : choisissez Python 3.8.

    f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

  6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

  7. Accédez au Portail Azure pour la configuration de l’application de fonction.

2. Configurer l’application de fonction

  1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
  2. Sous l’onglet Paramètres d’application, sélectionnez ** Nouveau paramètre d’application**.
  3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs de chaîne respectives (en respectant la casse) : TENANT_ID SHARED_KEY LIMIT GRANT_TYPE CUSTOMER_ID CLIENT_ID CLIENT_SECRET AZURE_STORAGE_ACCESS_KEY AZURE_STORAGE_ACCOUNT_NAME AzureWebJobsStorage logAnalyticsUri (facultatif)
  • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us. 3. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.