Sdílet prostřednictvím

Digital Shadows Searchlight (pomocí Azure Functions) konektoru pro Microsoft Sentinel

  • Článek

Datový konektor Digital Shadows poskytuje příjem incidentů a výstrah z digitálního vyhledávání stínů do Služby Microsoft Sentinel pomocí rozhraní REST API. Konektor poskytne informace o incidentech a výstrahách, které pomáhají zkoumat, diagnostikovat a analyzovat potenciální bezpečnostní rizika a hrozby.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Nastavení aplikace DigitalShadowsAccountID
ID pracovního prostoru
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (volitelné)(přidejte všechna další nastavení vyžadovaná aplikací funkcí)Nastavte DigitalShadowsURL hodnotu na: https://api.searchlight.app/v1Nastavte hodnotu na: Nastavte HighVariabilityClassifications hodnotu na: exposed-credential,marked-documentexclude Pro ClassificationFilterOperation vyloučení aplikace funkcí nebo include pro zahrnutí aplikace funkcí.
Kód aplikace funkcí Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabulky Log Analytics DigitalShadows_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Digitální stíny

Ukázky dotazů

Všechny incidenty a výstrahy služby Digital Shadows seřazené podle času, který byl naposledy vyvolán

DigitalShadows_CL 
| order by raised_t desc

Požadavky

Pokud chcete integrovat službu Digital Shadows Searchlight (pomocí Azure Functions), ujistěte se, že máte:

  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se ID účtu digitálního stínu, tajný klíč a klíč . Další informace o rozhraní API najdete v dokumentaci.https://portal-digitalshadows.com/learn/searchlight-api/overview/description

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení ke světlu digitálních stínů k načtení protokolů do Služby Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1 – Kroky konfigurace pro rozhraní API digitálního vyhledávání stínů

Poskytovatel by měl poskytnout podrobný postup konfigurace koncového bodu rozhraní API Digital Shadows Searchlight nebo odkaz na něj, aby se funkce Azure Functions mohla úspěšně ověřit, získat autorizační klíč nebo token a načíst protokoly zařízení do Služby Microsoft Sentinel.

KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením konektoru Digital Shadows Searchlight (Digital Shadows Searchlight) musí mít ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího) a také autorizační klíče rozhraní API Digitální stínové stíny nebo tokeny, které jsou snadno dostupné.

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru Digital Shadows Searchlight.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte ID pracovního prostoru, klíč pracovního prostoru, uživatelské jméno rozhraní API, heslo rozhraní API a/nebo jiná povinná pole.

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault. 4. Označte zaškrtávací políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše. 5. Kliknutím na tlačítko Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte konektor Digital Shadows Searchlight ručně se službou Azure Functions.

  1. Vytvoření aplikace Function App

  2. Na webu Azure Portal přejděte do aplikace funkcí.

  3. Klikněte na + Vytvořit v horní části.

  4. Na kartě Základy se ujistěte, že je zásobník modulu runtime nastavený na Python 3.8.

  5. Na kartě Hostování se ujistěte, že je typ plánu nastavený na Consumption (Bezserverové). 5.select Účet úložiště

  6. Přidání dalších požadovaných konfigurací

  7. "V případě potřeby proveďte další vhodnější změny konfigurace" a potom klikněte na Vytvořit.

  8. Import kódu aplikace funkcí (nasazení ZIP)

  9. Instalace rozhraní příkazového řádku Azure

  10. Z typu az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> terminálu a stiskněte enter. ResourceGroup Nastavte hodnotu na: název vaší skupiny prostředků. FunctionApp Nastavte hodnotu na: název nově vytvořené aplikace funkcí. Zip File Nastavte hodnotu na: digitalshadowsConnector.zip(cesta k souboru ZIP). Poznámka:- Stáhněte si soubor ZIP z odkazu – Kód aplikace funkcí

  11. Konfigurace aplikace funkcí

  12. Na obrazovce Aplikace funkcí klikněte na název aplikace funkcí a vyberte Možnost Konfigurace.

  13. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.

  14. Přidejte každé z následujících nastavení aplikace x (počet) jednotlivě, v části Název s příslušnými řetězcovými hodnotami (rozlišují se malá a velká písmena) v části Value: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (volitelné) (přidejte další nastavení vyžadovaná aplikací funkcí) Nastavte hodnotu na: Nastavte hodnotu na: https://api.searchlight.app/v1 Nastavte DigitalShadowsURL HighVariabilityClassifications hodnotu na: exposed-credential,marked-document ClassificationFilterOperation hodnota do: exclude pro vyloučení aplikace funkcí nebo include pro zahrnutí aplikace funkcí

Poznámka: Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v referenční dokumentaci ke službě Azure Key Vault.

  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.