Lookout (az Azure Function használatával) összekötő a Microsoft Sentinelhez
A Lookout-adatösszekötő lehetővé teszi a Lookout-események Microsoft Sentinelbe való betöltését a Mobile Risk API-n keresztül. További információért tekintse meg az API dokumentációját . A Lookout-adatösszekötő olyan események lekérését teszi lehetővé, amelyek segítenek a lehetséges biztonsági kockázatok vizsgálatában.
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Csatlakozás or attribútumok
| Csatlakozás or attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | Lookout_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | Kilátás |
Példák lekérdezésekre
Lookout-események – Minden tevékenység.
Lookout_CL
| sort by TimeGenerated desc
Előfeltételek
A Lookouttal való integráláshoz (az Azure-függvény használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- Mobile Risk API hitelesítő adatai/engedélyei: Az EnterpriseName & ApiKey szükséges a Mobile Risk API-hoz. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt. Ellenőrizze az összes követelményt, és kövesse a hitelesítő adatok beszerzésére vonatkozó utasításokat .
Szállító telepítési útmutatója
Feljegyzés
Ez a Lookout-adatösszekötő az Azure Functions használatával csatlakozik a Mobile Risk API-hoz, hogy lekérje az eseményeket a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
Feljegyzés
Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt LookoutEvents függvénynek megfelelően működik, amelyet a Microsoft Sentinel-megoldással helyez üzembe.
1. LÉPÉS – A Mobile Risk API konfigurációs lépései
A hitelesítő adatok beszerzéséhez kövesse az utasításokat .
2. LÉPÉS – Kövesse az alábbi utasításokat a Lookout-adatösszekötő és a kapcsolódó Azure-függvény üzembe helyezéséhez
FONTOS: A Lookout-adatösszekötő üzembe helyezésének megkezdése előtt győződjön meg arról, hogy a munkaterület-azonosító és a munkaterületkulcs készen áll (az alábbiakból másolható).
Munkaterületkulcs
Azure Resource Manager-sablon (ARM)
Kövesse az alábbi lépéseket a Lookout-adatösszekötő ARM-sablonnal történő automatikus üzembe helyezéséhez.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és régiót.
MEGJEGYZÉS: Ugyanabban az erőforráscsoportban nem keverheti a Windows- és Linux-alkalmazásokat ugyanabban a régióban. Válassza ki a meglévő erőforráscsoportot Windows-alkalmazások nélkül, vagy hozzon létre új erőforráscsoportot. 3. Adja meg a függvény nevét, munkaterület-azonosítóját, munkaterületkulcsát, vállalati nevét és API-kulcsát, és helyezze üzembe. 4. Az üzembe helyezéshez kattintson a Létrehozás gombra.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.