Megosztás a következőn keresztül:

Luminar IOCs és Leaked Credentials (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A lumináris IOC-k és a kiszivárgott hitelesítő adatok összekötője lehetővé teszi az intelligencián alapuló IOC-adatok és a Luminar által azonosított ügyféllel kapcsolatos kiszivárgott rekordok integrálását.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-CognyteLuminar-functionapp
Log Analytics-tábla(ok) ThreatIntelligenceIndicator
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Cognyte Luminar

Példák lekérdezésekre

Cognyte Luminar Based Indicators Events – A Microsoft Sentinel Threat Intelligence összes Cognyte Luminar mutatója.

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

Nem cognyte lumináris alapú jelzők eseményei – A Microsoft Sentinel threat Intelligence összes nem cognyte lumináris mutatója.

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

Előfeltételek

Ha lumináris IOCs-ekkel és kiszivárgott hitelesítő adatokkal szeretne integrálni (az Azure Functions használatával), győződjön meg arról, hogy rendelkezik a következőkkel:

  • Azure-előfizetés: A tulajdonosi szerepkörrel rendelkező Azure-előfizetésnek regisztrálnia kell egy alkalmazást az Azure Active Directory() szolgáltatásban, és hozzá kell rendelnie a közreműködői szerepkört az alkalmazáshoz az erőforráscsoportban.
  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • REST API hitelesítő adatok/engedélyek: Luminar ügyfélazonosító, Luminar Ügyfél titkos kód és Luminar-fiókazonosító szükséges.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a Cognyte Luminar API-hoz a Luminar IOC-k és a kiszivárgott hitelesítő adatok Microsoft Sentinelbe való lekéréséhez. Ez további költségeket eredményezhet az adatbetöltéshez és az adatok Azure Blob Storage-ban való tárolásához. A részletekért tekintse meg az Azure Functions díjszabási oldalát és az Azure Blob Storage díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető az adatösszekötő ARM-sablonnal.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg az alkalmazásazonosítót, a bérlőazonosítót, az ügyfél titkos kódját, a Luminar API ügyfélazonosítóját, a Luminar API-fiók azonosítóját, a Luminar API-ügyfél titkos kódját, a Korlátot, a TimeInterval-t és az üzembe helyezést.

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezheti üzembe a Cognyte Luminar adatösszekötőt az Azure Functionsben (Üzembe helyezés a Visual Studio Code-on keresztül).

1. Függvényalkalmazás üzembe helyezése

MEGJEGYZÉS:A VS-kódot elő kell készítenie az Azure-függvények fejlesztéséhez.

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.

  2. Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.

  3. Válassza ki a legfelső szintű mappát a kibontott fájlokból.

  4. Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.

  5. Amikor a rendszer kéri, adja meg az alábbi információkat:

    a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.

    b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.

    c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)

    d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. CognyteLuminarXXX).

    e. Válasszon futtatókörnyezetet: Válassza a Python 3.11-et.

    f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.

  6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

  7. Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.

2. A függvényalkalmazás konfigurálása

  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként az alábbi alkalmazásbeállításokat a hozzájuk tartozó sztringértékekkel (kis- és nagybetűk megkülönböztetése): Alkalmazásazonosító bérlőazonosító ügyfélkulcs lumináris API-ügyfélazonosítója Luminar API-fiókazonosító Luminar API-ügyfél titkos kódkorlátjaIntervallás – A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőben. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us
  4. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.