共用方式為

適用於 Microsoft Sentinel 的 Darktrace 連接器 REST API 連接器

  • 發行項

Darktrace REST API 會將即時事件從 Darktrace 推送至 Microsoft Sentinel,其設計目的是與適用於 Sentinel 的 Darktrace 解決方案搭配使用。 連接器將記錄寫入至自訂記錄資料表,標題為「darktrace_model_alerts_CL」的;其中可以內嵌模型缺口、AI 分析師事件、系統警示和電子郵件警示。您可以在 Darktrace 系統設定頁面上設定其他篩選條件。 資料會從 Darktrace 主機推送至 Sentinel。

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 darktrace_model_alerts_CL
支援資料收集規則 目前不支援
支援者 Darktrace (英文)

查詢範例

尋找測試警示

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

傳回最高評分的 Darktrace 模型缺口

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

傳回 AI 分析師事件

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

系統健康情況警示

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

傳回特定外部寄件者的電子郵件記錄檔 (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

必要條件

若要與適用於 Microsoft Sentinel 的 Darktrace 連接器 REST API 整合,請確定您具有:

  • Darktrace 必要條件:若要使用此資料連接器,您需要執行 v5.2+ 的 Darktrace 主機。 資料會從 Darktrace 主機透過 HTTPS 傳送至 Azure 監視器 HTTP 資料收集器 API,因此需要從 Darktrace 主機到 Microsoft Sentinel REST API 的輸出連線。
  • 篩選 Darktrace 資料:在設定期間,您可以在 Darktrace 系統設定頁面上設定其他篩選條件,限制傳送的資料量或資料類型。
  • 試用 Darktrace 的 Sentinel 解決方案:您可以安裝適用於 Microsoft Sentinel 的 Darktrace 解決方案,充分利用此連接器的功能。 這會提供以視覺效果呈現警示資料和分析規則的活頁簿,以從 Darktrace 的模型缺口和 AI 分析師事件自動建立警示和事件。

廠商的安裝指示

  1. 您可以在 Darktrace 客戶入口網站上找到詳細的設定指示:https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. 記下工作區識別碼和主索引鍵。 您必須在 Darktrace 系統設定頁面上輸入這些詳細資訊。

Darktrace 設定

  1. 在 Darktrace系統設定頁面上,執行下列步驟:
  2. 瀏覽至系統設定頁面 ([Main Menu] (主功能表) > [Admin] (系統管理) > [System Config] (系統設定))
  3. 移至模組設定,然後按一下 [Microsoft Sentinel] 設定卡片
  4. 選取 [HTTPS (JSON)],然後點擊 [New] (新增)
  5. 填寫必要的詳細資訊,然後選取適當的篩選條件
  6. 按一下 [Verify Alert Settings] (確認警示設定),嘗試驗證並傳送測試警示
  7. 執行「尋找測試警示」範例查詢,驗證已收到測試警示

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。