Share via

Microsoft Sentinel için Luminar IOC'ler ve Sızdırılan Kimlik Bilgileri (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Luminar IOC'ler ve Sızdırılan Kimlik Bilgileri bağlayıcısı, luminar tarafından tanımlanan zeka tabanlı IOC verilerinin ve müşteriyle ilgili sızdırılan kayıtların tümleştirilmesine olanak tanır.

Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.

Bağlan or öznitelikleri

Bağlan or özniteliği Açıklama
Azure işlev uygulaması kodu https://aka.ms/sentinel-CognyteLuminar-functionapp
Log Analytics tabloları ThreatIntelligenceIndicator
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Cognyte Luminar

Sorgu örnekleri

Cognyte Luminar Tabanlı Göstergeler Olayları - Microsoft Sentinel Tehdit Bilgileri'ndeki tüm Cognyte Luminar göstergeleri.

ThreatIntelligenceIndicator

| where SourceSystem contains 'Luminar'

| sort by TimeGenerated desc

Cognyte Olmayan Luminar Tabanlı Göstergeler Olayları - Microsoft Sentinel Tehdit Zekası'ndaki Tüm Cognyte Luminar göstergeleri.

ThreatIntelligenceIndicator

| where SourceSystem !contains 'Luminar'

| sort by TimeGenerated desc

Önkoşullar

Luminar IOC'ler ve Sızdırılan Kimlik Bilgileri ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Azure Aboneliği: Azure Active Directory()'de bir uygulamayı kaydetmek ve kaynak grubundaki uygulamaya katkıda bulunan rolü atamak için sahip rolüne sahip Azure Aboneliği gereklidir.
  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • REST API Kimlik Bilgileri/izinleri: Luminar İstemci Kimliği, Luminar İstemci Gizli Anahtarı ve Luminar Hesap Kimliği gereklidir.

Satıcı yükleme yönergeleri

Not

Bu bağlayıcı, Luminar IOC'lerini ve Sızdırılan Kimlik Bilgilerini Microsoft Sentinel'e çekmek üzere Cognyte Luminar API'sine bağlanmak için Azure İşlevleri kullanır. Bu, veri alımı ve verilerin Azure Blob Depolama maliyetlerde depolanması için ek maliyetlere neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına ve Azure Blob Depolama fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

Arm Şablonu kullanarak veri bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Azure'a Dağıt

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Uygulama Kimliği, Kiracı Kimliği, İstemci Gizli Anahtarı, Luminar API İstemci Kimliği, Luminar API Hesap Kimliği, Luminar API İstemci Gizli Anahtarı, Sınır, TimeInterval ve dağıtımı girin.

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

Cognyte Luminar veri bağlayıcısını Azure İşlevleri (Visual Studio Code aracılığıyla dağıtım) ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. İşlev Uygulaması Dağıtma

NOT:VS kodunu Azure işlev geliştirme için hazırlamanız gerekir.

  1. Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

  2. VS Code’u başlatın. Ana menüde Dosya'yı ve ardından Klasörü Aç'ı seçin.

  3. Ayıklanan dosyalardan en üst düzey klasörü seçin.

  4. Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin. Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin, ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin. Zaten oturum açtıysanız sonraki adıma gidin.

  5. İstemlerde aşağıdaki bilgileri sağlayın:

    a. Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.

    b. Abonelik: Kullanılacak aboneliği seçin.

    c. Azure'da yeni İşlev Uygulaması oluştur'u seçin (Gelişmiş seçeneğini belirleme)

    d. İşlev uygulaması için genel olarak benzersiz bir ad girin: URL yolunda geçerli bir ad yazın. Yazdığınız ad, Azure İşlevleri benzersiz olduğundan emin olmak için doğrulanır. (örn. CognyteLuminarXXXX).

    e. Çalışma zamanı seçin: Python 3.8'i seçin.

    f. Yeni kaynaklar için bir konum seçin. Daha iyi performans ve daha düşük maliyetler için Microsoft sentinel'in bulunduğu bölgeyi seçin.

  6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

  7. İşlev Uygulaması yapılandırması için Azure Portal'a gidin.

2. İşlev Uygulamasını Yapılandırma

  1. İşlev Uygulamasında İşlev Uygulaması Adı'nı ve ardından Yapılandırma'yı seçin.
  2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
  3. Aşağıdaki uygulama ayarlarının her birini ilgili dize değerleriyle (büyük/küçük harfe duyarlı) tek tek ekleyin: Uygulama Kimliği Kiracı Kimliği İstemci Gizli Luminar API İstemci Kimliği Luminar API Hesabı Kimliği Luminar API İstemci Gizli Dizi Sınırı TimeInterval - Ayrılmış bulut için log Analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri aşağıdaki biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us
  4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.