다음을 통해 공유

Microsoft Sentinel용 Lookout Cloud Security(Azure Functions 사용) 커넥터

  • 아티클

이 커넥터는 Agari REST API 연결을 사용하여 Microsoft Sentinel Log Analytics로 데이터를 푸시합니다.

커넥터 특성

커넥터 특성 설명
Azure 함수 앱 코드 https://aka.ms/sentinel-Lookout-functionapp
Log Analytics 테이블 LookoutCloudSecurity_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Lookout

쿼리 샘플

모든 Lookout Cloud Security 로그

LookoutCloudSecurity_CL

| sort by TimeGenerated desc

필수 조건

Microsoft Sentinel용 Lookout Cloud Security(Azure Functions 사용)와 통합하려면 다음 사항을 확인합니다.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 Agari REST API에 연결하여 로그를 Microsoft Sentinel로 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

단계별 지침

이 통합의 필수 조건으로 먼저 Lookout의 관리 콘솔에서 API 클라이언트를 구성해야 합니다. 관리 콘솔에서 하나 이상의 클라이언트를 추가하고 각각에 대해 적절한 권한과 작업을 구성할 수 있습니다.

  1. 이름 - 이 클라이언트에 부여된 이름입니다.

  2. 클라이언트 ID - 이 클라이언트에 제공된 고유 ID입니다.

  3. 권한 - 이 클라이언트에 대해 사용하도록 설정된 권한입니다. 확인하는 권한은 클라이언트가 액세스할 수 있는 권한입니다. 나열된 옵션은 작업, 위반, 변칙, 인사이트 및 프로필입니다.

  4. 서비스 URL - 이 클라이언트에 액세스하는 데 사용되는 URL입니다. https://로 시작해야 합니다.

  5. 권한이 있는 IP - 이 클라이언트에 적용되는 유효한 IP 주소입니다.

  6. 작업 - 이 클라이언트에 대해 수행할 수 있는 작업입니다. 수행하려는 작업에 대한 아이콘을 클릭합니다. 클라이언트 정보 편집, 클라이언트 암호 표시 또는 클라이언트 삭제.

새 API 클라이언트를 추가하려면:

  1. 관리 > 엔터프라이즈 통합 > API 클라이언트로 이동하여 새로 만들기를 클릭합니다.

  2. 이름(필수) 및 설명(선택 사항)을 입력합니다.

  3. 사용자에게 제공된 클라이언트 ID를 입력합니다.

  4. 드롭다운 목록에서 하나 이상의 권한을 선택합니다.

  5. 이 클라이언트에 대해 하나 이상의 권한이 있는 IP 주소를 입력합니다. 각 주소를 쉼표로 구분합니다.

  6. 저장을 클릭합니다.

메시지가 표시되면 클라이언트의 비밀 문자열을 복사합니다. API 게이트웨이에 인증하려면 클라이언트 ID와 함께 이 정보가 필요합니다.

2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수 배포

중요: 데이터 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론 Azure Blob Storage 연결 문자열과 컨테이너 이름을 쉽게 사용할 수 있는지 확인합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 데이터 커넥터를 자동으로 배포하려면 이 방법을 사용합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Deploy To Azure

  2. 원하는 구독, 리소스 그룹위치를 선택합니다.

  3. Lookout 클라이언트 ID, Lookout 클라이언트 암호, Lookout 기준 URL, Microsoft Sentinel Workspace ID, Microsoft Sentinel 공유 키를 입력합니다.

  4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

  5. 배포하려면 구매를 클릭합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code를 통한 배포)를 사용하여 데이터 커넥터를 수동으로 배포합니다.

1. 함수 앱 배포

참고: Azure 함수 개발을 위해서는 VS Code를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 막대에서 Azure 아이콘을 선택한 다음, Azure: Functions 영역에서 함수 앱에 배포 단추를 선택합니다. 아직 로그인하지 않은 경우 작업 표시줄에서 Azure 아이콘을 선택한 다음 Azure: Functions 영역에서 Azure에 로그인을 선택합니다. 이미 로그인되어 있는 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱을 포함하는 폴더를 찾습니다.

    b. 구독 선택: 사용할 구독을 선택합니다.

    c. Azure에서 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 마세요).

    d. 함수 앱에 대해 전역적으로 고유 이름을 입력합니다. URL 경로에 유효한 이름을 입력합니다. 입력한 이름이 Azure Functions에서 고유한지 확인하기 위해 유효성을 검사합니다.

    e. 런타임 선택: Python 3.8을 선택합니다.

    f. 새 리소스의 위치 선택 성능을 향상하고 비용을 낮추려면 Microsoft Sentinel이 위치한 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱을 만들고 배포 패키지가 적용되면 알림이 표시됩니다.

  7. 함수 앱 구성을 위해 Azure Portal로 이동합니다.

2. 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  3. 해당 문자열 값(대/소문자 구분)을 사용하여 다음 각 애플리케이션 설정을 개별적으로 추가합니다. LookoutClientId LookoutApiSecret Baseurl WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어, 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 https://WORKSPACE_ID.ods.opinsights.azure.us 형식으로 값을 지정합니다.
  1. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.