你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Derdack SIGNL4 连接器
当关键系统发生故障或发生安全事件时,SIGNL4 将故障位置与现场员工、工程师、IT 管理员和工作人员的“最后一英里”连接起来。 它可以立即将实时移动警报添加到服务、系统和进程中。 SIGNL4 通过持续移动推送、短信和语音呼叫发出通知,并提供确认、跟踪和升级功能。 集成的值班和轮班安排可确保在合适的时间向合适的人员发出警报。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
连接器属性 | 说明 |
---|---|
Log Analytics 表 | SIGNL4_CL |
数据收集规则支持 | 目前不支持 |
支持的服务 | Derdack |
查询示例
获取 SIGNL4 警报和状态信息。
SecurityIncident
| where Labels contains "SIGNL4"
供应商安装说明
注意
此数据连接器主要在 SIGNL4 端配置。 有关说明视频,请访问:将 SIGNL4 与 Microsoft Sentinel 集成。
SIGNL4 连接器:适用于 Microsoft Sentinel、Azure 安全中心和其他 Azure Graph 安全性 API 提供程序的 SIGNL4 连接器提供与 Azure 安全解决方案的无缝双向集成。 连接器添加到 SIGNL4 团队后,将从 Azure Graph 安全性 API 读取安全警报,并完全自动向值班团队成员触发警报通知。 它还会将警报状态从 SIGNL4 同步到 Graph 安全性 API,以便在确认或关闭警报时,还会根据相应 Azure Graph 安全性 API 警报或相应的安全提供程序更新此状态。 如前所述,该连接器主要使用 Azure Graph 安全性 API,但对于某些安全提供程序(例如 Microsoft Sentinel),它还会使用相应 Azure 解决方案中的专用 REST API。
Microsoft Sentinel 功能
Microsoft Sentinel 是 Microsoft 提供的云原生 SIEM 解决方案,也是 Azure Graph 安全性 API 中的安全警报提供程序。 但是,Microsoft Sentinel 向 Graph 安全性 API 提供的警报的详细程度是有限的。 因此,连接器可以使用基础 Microsoft Sentinel Log Analytics 工作区提供的更多详细信息(见解规则搜索结果)来增强警报。 为此,连接器会与 Azure Log Analytics REST API 进行通信,并需要相应权限(参阅下文)。 此外,当所有相关的安全警报处于正在进行或已解决等状态时,应用还可以更新 Microsoft Sentinel 事件的状态。 为了能够执行此操作,连接器必须是 Azure 订阅中“Microsoft Sentinel 参与者”组的成员。 Azure 中的自动部署访问上述 API 所需的凭据由一个 PowerShell 小脚本生成,该脚本可在下方下载。 该脚本可为你执行以下任务:
- 将你登录到 Azure 订阅(请使用管理员帐户登录)
- 在 Microsoft Entra ID 中为此连接器创建新的企业应用程序,也称为服务主体
- 在 Azure IAM 中创建一个新角色,该角色仅向 Azure Log Analytics 工作区授予读取/查询权限。
- 将企业应用程序加入该用户角色
- 将企业应用程序加入到“Microsoft Sentinel 参与者”角色
- 输出一些配置应用所需的数据(如下所示)
部署过程
- 从此处下载 PowerShell 部署脚本。
- 查看该脚本以及该脚本为新应用注册部署的角色和权限的范围。 如果你不想将连接器用于 Microsoft Sentinel,可以删除所有角色创建和角色分配代码,并仅使用它在 Microsoft Entra ID 中创建应用注册 (SPN)。
- 运行该脚本。 最后,它会输出需要在连接器应用配置中输入的信息。
- 在 Microsoft Entra ID 中,单击“应用注册”。 查找名称为“SIGNL4AzureSecurity”的应用并打开其详细信息
- 在左侧菜单边栏选项卡中单击“API 权限”。 然后单击“添加权限”。
- 在加载的边栏选项卡的“Microsoft API”下,单击“Microsoft Graph”磁贴,然后单击“应用权限”。
- 在显示的表中,展开“SecurityEvents”,检查“SecurityEvents.Read.All”和“SecurityEvents.ReadWrite.All”。
- 单击“添加权限”。
配置 SIGNL4 连接器应用
最后,输入脚本在连接器配置中输出的 ID:
- Azure 租户 ID
- Azure 订阅 ID
- (企业应用程序的)客户端 ID
- (企业应用程序的)客户端密码 应用启用后,它将开始读取 Azure Graph 安全性 API 警报。
注意:它最初只会读取过去 24 小时内发生的警报。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。