Konektor Lookout Cloud Security (menggunakan Azure Functions) untuk Microsoft Sentinel

Konektor ini menggunakan koneksi AGARI REST API untuk mendorong data ke Analitik Log Microsoft Sentinel.

atribut Koneksi or

Atribut konektor	Deskripsi
Kode aplikasi fungsi Azure	https://aka.ms/sentinel-Lookout-functionapp
Tabel Log Analytics	LookoutCloudSecurity_CL
Dukungan aturan pengumpulan data	Saat ini tidak didukung
Didukung oleh	Lookout

Kueri sampel

Semua log Keamanan Cloud Lookout

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan Lookout Cloud Security untuk Microsoft Sentinel (menggunakan Azure Functions) pastikan Anda memiliki:

• Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke AGARI REST API untuk menarik log ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Instruksi Langkah demi Langkah

Sebagai prasyarat untuk integrasi ini, pertama, Anda perlu mengonfigurasi klien API di Lookout's Management Console. Dari Konsol Manajemen, Anda dapat menambahkan satu atau beberapa klien dan mengonfigurasi izin dan tindakan yang sesuai untuk masing-masing klien.

1. Nama - Nama yang diberikan kepada klien ini.

2. ID Klien - ID unik yang disediakan untuk klien ini.

3. Izin - Izin yang diaktifkan untuk klien ini. Izin yang Anda periksa adalah izin yang akan diizinkan untuk diakses klien. Opsi yang tercantum adalah Aktivitas, Pelanggaran, Anomali, Wawasan, dan Profil

4. URL Layanan - URL yang digunakan untuk mengakses klien ini. Ini harus dimulai dengan https://

5. IP resmi - Alamat IP atau alamat yang valid yang berlaku untuk klien ini.

6. Tindakan - Tindakan yang dapat Anda lakukan untuk klien ini. Klik ikon untuk tindakan yang ingin Anda lakukan. Mengedit informasi klien, menampilkan rahasia klien, atau menghapus klien.

Untuk menambahkan klien API baru:

1. > Buka Administrasi Klien API Integrasi > Perusahaan dan klik Baru.

2. Masukkan Nama (diperlukan) dan Deskripsi (opsional).

3. Masukkan ID Klien yang diberikan kepada Anda.

4. Pilih satu atau beberapa Izin dari daftar dropdown.

5. Masukkan satu atau beberapa alamat IP resmi untuk klien ini. Pisahkan setiap alamat dengan koma.

6. Klik Simpan.

Saat diminta, salin string untuk rahasia klien. Anda akan memerlukan informasi ini (bersama dengan ID klien) untuk mengautentikasi ke gateway API.

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta azure Blob Storage string koneksi dan nama kontainer, tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor data menggunakan ARM Tempate.

1. Klik tombol Sebarkan ke Azure di bawah ini.

   

2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

3. Masukkan ID Klien Lookout, Rahasia Klien Lookout, url Basis Pencarian, Id Ruang Kerja Microsoft Sentinel, Kunci Bersama Microsoft Sentinel

4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.

5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).

1. Menyebarkan Aplikasi Fungsi

CATATAN: Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.

1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.

2. Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.

3. Pilih folder tingkat atas dari file yang diekstrak.

4. Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.

5. Berikan informasi berikut pada permintaan:

   a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.

   b. Pilih Langganan: Pilih langganan yang akan digunakan.

   c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)

   d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions.

   e. Pilih runtime: Pilih Python 3.8.

   f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.

6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

7. Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.

2. Mengonfigurasi Aplikasi Fungsi

1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
3. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai string masing-masing (peka huruf besar/kecil): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (Opsional)

• Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://WORKSPACE_ID.ods.opinsights.azure.us.

4. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.