Lookout (使用 Azure Function) 連接器 for Microsoft Sentinel
Lookout 資料連接器提供透過行動風險 API 將 Lookout 事件內嵌至 Microsoft Sentinel 的功能。 如需詳細資訊, 請參閱 API 檔 。 Lookout 資料連接器提供取得事件的能力,有助於檢查潛在的安全性風險等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | Lookout_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | 望風 |
查詢範例
Lookout 事件 - 所有活動。
Lookout_CL
| sort by TimeGenerated desc
必要條件
若要與 Lookout 整合(使用 Azure 函式),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- 行動風險 API 認證/許可權: 行動風險 API 需要 EnterpriseName 和 ApiKey 。 請參閱檔以深入瞭解 API。 檢查所有 需求,並遵循取得認證的指示 。
廠商安裝指示
注意
此 Lookout 資料連接器會使用 Azure Functions 連線到行動風險 API,將其事件提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
注意
此數據連接器相依於以 Kusto 函式為基礎的剖析器,以如預期般運作使用 Microsoft Sentinel 解決方案所部署的 LookoutEvents。
步驟 1 - 行動風險 API 的設定步驟
請依照指示 取得認證。
步驟 2 - 請遵循下列所述的指示來部署 Lookout 數據連接器和相關聯的 Azure 函式
重要事項: 開始部署 Lookout 資料連接器之前,請務必備妥工作區標識碼和工作區密鑰(可從下列內容複製)。
工作區金鑰
Azure Resource Manager (ARM) 範本
請遵循下列步驟,使用ARM樣本自動部署 Lookout 資料連接器。
按兩下下方的 [ 部署至 Azure ] 按鈕。
選取慣用 的訂用帳戶、 資源群組 和 區域。
注意: 在同一個資源群組內,您無法在同一個區域中混合 Windows 和 Linux 應用程式。 選取現有的資源群組,而不在其中選取 Windows 應用程式,或建立新的資源群組。 3.輸入函式名稱、工作區標識符、工作區金鑰、企業名稱和Api 金鑰並部署。 4.按兩下 [建立 ] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。