Dela via

Darktrace Anslut eller REST API-anslutningsprogram för Microsoft Sentinel

  • Artikel

Darktrace REST API-anslutningsappen skickar realtidshändelser från Darktrace till Microsoft Sentinel och är utformad för att användas med Darktrace Solution for Sentinel. Anslutningsappen skriver loggar till en anpassad loggtabell med titeln "darktrace_model_alerts_CL"; Modellöverträdelser, AI-analytikerincidenter, systemaviseringar och e-postaviseringar kan matas in – ytterligare filter kan konfigureras på sidan Systemkonfiguration för Darktrace. Data skickas till Sentinel från Darktrace-huvudservrar.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller darktrace_model_alerts_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Darktrace

Exempel på frågor

Leta efter testaviseringar

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Returnera darktrace-modellöverträdelser med högsta poäng

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Returnera AI-analytikerincidenter

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Returnera systemhälsoaviseringar

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Returnera e-postloggar för en specifik extern avsändare (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Förutsättningar

Om du vill integrera med Darktrace Anslut eller för Microsoft Sentinel REST API kontrollerar du att du har:

  • Förutsättningar för Darktrace: Om du vill använda dessa data Anslut eller en Darktrace-huvudserver som kör v5.2+ krävs. Data skickas till AZURE Monitor HTTP Data Collector API via HTTPs från Darktrace-huvudservrar. Därför krävs utgående anslutning från Darktrace-huvudservern till Microsoft Sentinel REST API.
  • Filtrera Darktrace-data: Under konfigurationen är det möjligt att konfigurera ytterligare filtrering på sidan Konfiguration av Darktrace-system för att begränsa mängden eller typerna av data som skickas.
  • Prova Darktrace Sentinel-lösningen: Du kan få ut mesta möjliga av den här anslutningsappen genom att installera Darktrace-lösningen för Microsoft Sentinel. Detta ger arbetsböcker för att visualisera aviseringsdata och analysregler för att automatiskt skapa aviseringar och incidenter från Darktrace-modellöverträdelser och AI-analytikerincidenter.

Installationsanvisningar för leverantör

  1. Detaljerade installationsinstruktioner finns på Darktrace-kundportalen: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Anteckna arbetsyte-ID:t och primärnyckeln. Du måste ange den här informationen på sidan Systemkonfiguration för Darktrace.

Darktrace-konfiguration

  1. Utför följande steg på sidan Systemkonfiguration för Darktrace:
  2. Gå till sidan Systemkonfiguration (huvudmenyn > Admin > System Config)
  3. Gå till Modulkonfiguration och klicka på konfigurationskortet "Microsoft Sentinel"
  4. Välj "HTTPS (JSON)" och tryck på "Ny"
  5. Fyll i nödvändig information och välj lämpliga filter
  6. Klicka på "Verifiera avisering Inställningar" för att försöka autentisering och skicka ut en testavisering
  7. Kör exempelfrågan "Sök efter testaviseringar" för att verifiera att testaviseringen har tagits emot

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.