Delen via

Darktrace Verbinding maken or REST API-connector voor Microsoft Sentinel

  • Artikel

De Darktrace REST API-connector pusht realtime gebeurtenissen van Darktrace naar Microsoft Sentinel en is ontworpen voor gebruik met de Darktrace-oplossing voor Sentinel. De connector schrijft logboeken naar een aangepaste logboektabel met de titel 'darktrace_model_alerts_CL'; Modelschendingen, AI-analistenincidenten, systeemwaarschuwingen en e-mailwaarschuwingen kunnen worden opgenomen. Er kunnen extra filters worden ingesteld op de pagina Darktrace-systeemconfiguratie. Gegevens worden vanuit Darktrace-masters naar Sentinel gepusht.

Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.

Verbinding maken orkenmerken

Verbinding maken orkenmerk Beschrijving
Log Analytics-tabellen darktrace_model_alerts_CL
Ondersteuning voor regels voor gegevensverzameling Wordt momenteel niet ondersteund
Ondersteund door Darktrace

Voorbeelden van query's

Zoeken naar testwaarschuwingen

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Top scorende Darktrace-modelschendingen retourneren

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Ai-analistenincidenten retourneren

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Systeemstatuswaarschuwingen retourneren

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

E-maillogboeken retourneren voor een specifieke externe afzender (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Vereisten

Als u wilt integreren met Darktrace Verbinding maken or voor De REST API van Microsoft Sentinel, moet u het volgende doen:

  • Vereisten voor Darktrace: Als u deze gegevens wilt gebruiken Verbinding maken of een Darktrace-master met v5.2+ is vereist. Gegevens worden verzonden naar de HTTP-gegevensverzamelaar-API van Azure Monitor via HTTPs van Darktrace-masters, waardoor uitgaande connectiviteit van de Darktrace-master naar Microsoft Sentinel REST API is vereist.
  • Darktrace-gegevens filteren: Tijdens de configuratie is het mogelijk om extra filters in te stellen op de pagina Darktrace-systeemconfiguratie om de hoeveelheid of typen gegevens te beperken die worden verzonden.
  • Probeer de Darktrace Sentinel-oplossing: u kunt optimaal gebruikmaken van deze connector door de Darktrace-oplossing voor Microsoft Sentinel te installeren. Dit biedt werkmappen voor het visualiseren van waarschuwingsgegevens en analyseregels om automatisch waarschuwingen en incidenten te maken van Darktrace-modelschendingen en AI-analistenincidenten.

Installatie-instructies van leverancier

  1. Gedetailleerde installatie-instructies vindt u in de Darktrace-klantportal: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Noteer de werkruimte-id en de primaire sleutel. U moet deze gegevens invoeren op de pagina Darktrace-systeemconfiguratie.

Darktrace-configuratie

  1. Voer de volgende stappen uit op de pagina Darktrace-systeemconfiguratie:
  2. Ga naar de pagina Systeemconfiguratie (hoofdmenu > Beheer > System Config)
  3. Ga naar de configuratie van modules en klik op de configuratiekaart Microsoft Sentinel
  4. Selecteer HTTPS (JSON) en druk op Nieuw
  5. Vul de vereiste gegevens in en selecteer de juiste filters
  6. Klik op Waarschuwing controleren Instellingen om verificatie uit te proberen en een testwaarschuwing te verzenden
  7. Voer een voorbeeldquery 'Zoeken naar testwaarschuwingen' uit om te controleren of de testwaarschuwing is ontvangen

Volgende stappen

Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.