Поделиться через

Коннектор REST API для Darktrace в Microsoft Sentinel

  • Статья

Соединитель REST API Darktrace отправляет события в режиме реального времени из Darktrace в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в пользовательскую таблицу журналов с названием "darktrace_model_alerts_CL". Нарушения модели, инциденты, выявленные ИИ-аналитиком, системные оповещения и оповещения по электронной почте могут быть обработаны. Дополнительные фильтры можно настроить на странице конфигурации системы Darktrace. Данные отправляются в Sentinel с основных серверов Darktrace.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

Атрибуты соединителя

Атрибут соединителя Description
Таблицы Log Analytics darktrace_model_alerts_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Darktrace

Примеры запросов

Поиск тестовых оповещений

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Возврат верхних показателей нарушений модели Darktrace

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Возврат инцидентов, связанных с анализом ИИ

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Вернуть оповещения о состоянии системы

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Вернуть журналы электронной почты для определенного внешнего отправителя (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

** Предварительные условия

Чтобы интегрироваться с Darktrace Connector для REST API Microsoft Sentinel, убедитесь, что у вас есть:

  • Предварительные требования Darktrace: для использования этого соединителя данных требуется Darktrace-мастер версии 5.2 или выше. Данные отправляются в HTTP API сборщика данных Azure Monitor по протоколу HTTPS от узлов Darktrace, поэтому необходимо исходящее подключение от мастера Darktrace к REST API Microsoft Sentinel.
  • Фильтрация данных Darktrace: во время настройки можно настроить дополнительную фильтрацию на странице "Конфигурация системы Darktrace", чтобы ограничить объем или типы отправленных данных.
  • Попробуйте решение Darktrace Sentinel: вы можете извлечь максимальную пользу из этого соединителя, установив решение Darktrace для Microsoft Sentinel. Это обеспечит рабочие книги для визуализации данных о предупреждениях и правила аналитики для автоматического создания предупреждений и инцидентов из нарушений модели Darktrace и инцидентов от AI-аналитика.

Инструкции по установке от поставщика

  1. Подробные инструкции по настройке можно найти на портале клиента Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Запишите идентификатор рабочей области и первичный ключ. Эти сведения необходимо ввести на странице "Конфигурация системы Darktrace".

Конфигурация Darktrace

  1. Выполните следующие действия на странице "Конфигурация системы Darktrace".
  2. Перейдите на страницу конфигурации системы (Главное меню > Администратор > Конфигурация системы)
  3. Перейдите в конфигурацию модулей и щелкните карточку конфигурации Microsoft Sentinel
  4. Выберите "HTTPS (JSON)" и нажмите кнопку "Создать"
  5. Укажите необходимые сведения и выберите соответствующие фильтры
  6. Нажмите кнопку "Проверить параметры оповещений", чтобы попытаться выполнить проверку подлинности и отправить тестовое оповещение
  7. Выполните пример запроса "Поиск тестовых оповещений", чтобы проверить, получено ли тестовое оповещение.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.