Microsoft Sentinel 用 Lookout (Azure Functions を使用) コネクタ
Lookout データ コネクタは、Mobile Risk API を介して Lookout イベントを Microsoft Sentinel に取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 Lookout データ コネクタは、潜在的なセキュリティ リスクなどを調べるのに役立つイベントを取得する機能を提供します。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Lookout_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Lookout |
クエリのサンプル
Lookout イベント - すべてのアクティビティ。
Lookout_CL
| sort by TimeGenerated desc
前提条件
Lookout (Azure Functions を使用) と統合するには、次があることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Mobile Risk API の資格情報/アクセス許可: Mobile Risk API には EnterpriseName と ApiKey が必要です。 API の詳細については、このドキュメントを参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。
ベンダーのインストール手順
注意
この Lookout データ コネクタは、Azure Functions を使用して Mobile Risk API に接続し、そのイベントを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている LookoutEvents) を利用して期待どおりに動作します。
手順 1 - Mobile Risk API の構成手順
手順に従って資格情報を取得します。
手順 2 - 以下の手順に従って、Lookout データ コネクタと関連する Azure 関数をデプロイします
重要:Lookout データ コネクタのデプロイを開始する前に、ワークスペース ID とワークスペース キーを準備しておく必要があります (次からコピーできます)。
ワークスペース キー
Azure Resource Manager (ARM) テンプレート
ARM テンプレートを使用した Lookout データ コネクタの自動デプロイについては、次の手順に従います。
下の [Azure へのデプロイ] ボタンをクリックします。
使用するサブスクリプション、リソース グループ、リージョンを選択します。
注: 同じリソース グループ内では、Windows と Linux のアプリを同じリージョンに混在させることはできません。 Windows アプリが含まれていない既存のリソース グループを選択するか、新しいリソース グループを作成します。 3. 関数名、ワークスペース ID、ワークスペース キー、エンタープライズ名、API キーを入力してデプロイします。 4. [作成] をクリックしてデプロイします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。