Connettore Lookout Cloud Security (con Funzioni di Azure) per Microsoft Sentinel

  • Articolo

Questo connettore usa una connessione API REST Agari per eseguire il push dei dati in Microsoft Sentinel Log Analytics.

attributi Connessione or

Attributo Connessione or Descrizione
Codice dell'app per le funzioni di Azure https://aka.ms/sentinel-Lookout-functionapp
Tabelle di Log Analytics LookoutCloudSecurity_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportato da Ricerca

Esempi di query

Tutti i log di Lookout Cloud Security

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con Lookout Cloud Security per Microsoft Sentinel (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni di installazione fornitore

Nota

Questo connettore usa Funzioni di Azure per connettersi all'API REST di Agari per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Istruzioni dettagliate

Come prerequisito per questa integrazione, prima di tutto è necessario configurare un client API nella Console di gestione di Lookout. Dalla Console di gestione è possibile aggiungere uno o più client e configurare le autorizzazioni e le azioni appropriate per ognuna.

  1. Name: nome assegnato al client.

  2. ID client: ID univoco fornito per questo client.

  3. Autorizzazioni: autorizzazioni abilitate per questo client. Le autorizzazioni controllate sono quelle a cui il client potrà accedere. Le opzioni elencate sono Activity, Violation, Anomaly, Insights e Profile

  4. URL del servizio: URL usato per accedere a questo client. Deve iniziare con https://

  5. INDIRIZZI IP autorizzati: indirizzo IP o indirizzi IP validi che si applicano a questo client.

  6. Azioni: le azioni che è possibile eseguire per questo client. Fare clic sull'icona per l'azione che si desidera eseguire. Modifica delle informazioni client, visualizzazione del segreto client o eliminazione del client.

Per aggiungere un nuovo client API:

  1. Passare a Amministrazione istration > Enterprise Integration API Clients (Client API Enterprise Integration>) e fare clic su Nuovo.

  2. Immettere un nome (obbligatorio) e una descrizione (facoltativo).

  3. Immettere l'ID client fornito all'utente.

  4. Selezionare una o più autorizzazioni dall'elenco a discesa.

  5. Immettere uno o più indirizzi IP autorizzati per questo client. Separare ogni indirizzo con una virgola.

  6. Fare clic su Salva.

Quando richiesto, copiare la stringa per il segreto del client. Queste informazioni saranno necessarie (insieme all'ID client) per eseguire l'autenticazione al gateway API.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato dai seguenti), nonché Archiviazione BLOB di Azure stringa di connessione e il nome del contenitore, immediatamente disponibile.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Usare questo metodo per la distribuzione automatica del connettore dati usando un modello ARM.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Deploy To Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere l'ID client di Lookout, il segreto client di Lookout, l'URL di base di Lookout, l'ID dell'area di lavoro di Microsoft Sentinel, la chiave condivisa di Microsoft Sentinel

  4. Contrassegnare la casella di controllo con l'etichetta Accetto i termini e le condizioni indicati in precedenza.

  5. Fare clic su Acquista per distribuire.

Opzione 2 - Distribuzione manuale di Funzioni di Azure

Usare le istruzioni dettagliate seguenti per distribuire manualmente il connettore dati con Funzioni di Azure (distribuzione tramite Visual Studio Code).

1. Distribuire un'app per le funzioni

NOTA: sarà necessario preparare VS Code per lo sviluppo di funzioni di Azure.

  1. Scaricare il file dell'app per le funzioni di Azure. Estrarre l'archivio nel computer di sviluppo locale.

  2. Avviare VS Code. Scegliere File nel menu principale e selezionare Apri cartella.

  3. Selezionare la cartella di primo livello dai file estratti.

  4. Scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni. Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività, quindi nell'area Azure: Funzioni scegliere Accedi ad Azure Se è già stato eseguito l'accesso, andare al passaggio successivo.

  5. Quando richiesto, immettere le informazioni seguenti:

    a. Selezionare la cartella: scegliere una cartella dall'area di lavoro o passare a una cartella che contiene l'app per le funzioni.

    b. Selezionare Sottoscrizione: scegliere la sottoscrizione da usare.

    c. Selezionare Crea nuova app per le funzioni in Azure (non scegliere l'opzione Avanzate)

    d. Immettere un nome univoco globale per l'app per le funzioni: Digitare un nome valido in un percorso URL. Il nome digitato viene convalidato per assicurarsi che sia univoco in Funzioni di Azure.

    e. Selezionare un runtime: scegliere Python 3.8.

    f. Select a location for new resources. Per prestazioni migliori e costi inferiori, scegliere la stessa area in cui si trova Microsoft Sentinel.

  6. Verrà avviata la distribuzione. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

  7. Passare al portale di Azure per la configurazione dell'app per le funzioni.

2. Configurare l'app per le funzioni

  1. Nell'app per le funzioni selezionare Nome app per le funzioni e selezionare Configurazione.
  2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
  3. Aggiungere singolarmente ognuna delle impostazioni dell'applicazione seguenti, con i rispettivi valori stringa (con distinzione tra maiuscole e minuscole): LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
  • Usare logAnalyticsUri per eseguire l'override dell'endpoint dell'API di Log Analytics per il cloud dedicato. Ad esempio, per il cloud pubblico lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. Dopo aver immesso tutte le impostazioni dell'applicazione, fare clic su Salva.

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.