你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Lookout(使用 Azure 函数)连接器
Lookout 数据连接器提供通过移动风险 API 将 Lookout 事件引入 Microsoft Sentinel 的功能。 详细信息请参阅 API 文档。 Lookout 数据连接器提供了获取事件的功能,这有助于检查潜在的安全风险等。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | Lookout_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Lookout |
查询示例
Lookout 事件 - 所有活动。
Lookout_CL
| sort by TimeGenerated desc
先决条件
若要与 Lookout(使用 Azure 函数)集成,请确保满足以下条件:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- 移动风险 API 凭据/权限:移动风险 API 需要 EnterpriseName 和 ApiKey。 请参阅文档来详细了解 API。 检查所有要求,并按照说明获取凭据。
供应商安装说明
注意
此 Lookout 数据连接器使用 Azure Functions 连接到移动风险 API,以将其事件拉取到 Microsoft Sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
注意
此数据连接器依赖基于 Kusto 函数的分析程序,作为使用 Microsoft Sentinel 解决方案进行部署的预期 LookoutEvents 运行。
步骤 1 - 移动风险 API 的配置步骤
按照说明获取凭据。
步骤 2 - 按照下面提到的说明部署 Lookout 数据连接器和关联的 Azure 函数
重要提示:在开始部署 Lookout 数据连接器之前,请确保准备好工作区 ID 和工作区密钥(可以从以下位置复制)。
工作区密钥
Azure 资源管理器 (ARM) 模板
按照以下步骤使用 ARM 模板自动部署 Lookout 数据连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“区域”。
注意:在同一资源组内,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入函数名称、工作区 ID、工作区密钥、企业名称和 API 密钥并进行部署。 4. 单击“创建”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。