適用於 Microsoft Sentinel 的 Digital Shadows Searchlight (使用 Azure Functions) 連接器
Digital Shadows 資料連接器可讓您使用 REST API,將事件和警示從 Digital Shadows Searchlight 擷取至 Microsoft Sentinel。 連接器將提供事件和警示資訊,以便其可協助檢查、診斷和分析潛在的安全性風險和威脅。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 應用程式設定 | DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (選擇性) (新增函數應用程式所需的任何其他設定) 將 DigitalShadowsURL 值設定為:https://api.searchlight.app/v1將 HighVariabilityClassifications 值設定為:exposed-credential,marked-document將 ClassificationFilterOperation 值設定為:exclude 排除函數應用程式或 include 包含函數應用程式 |
| Azure 函數應用程式程式碼 | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip |
| 記錄分析資料表 | DigitalShadows_CL |
| 資料收集規則支援 | 目前不支援 |
| 支援者 | Digital Shadows |
查詢範例
依最近引發時間排序的所有 Digital Shadows 事件和警示
DigitalShadows_CL
| order by raised_t desc
必要條件
若要與 Digital Shadows Searchlight (使用 Azure Functions) 整合,請確定您具有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立函數應用程式。 請參閱文件以深入了解 Azure Functions。
-
REST API 認證/權限:需要 Digital Shadows 帳戶識別碼、祕密和金鑰。 請參閱文件以深入了解
https://portal-digitalshadows.com/learn/searchlight-api/overview/description上的 API。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 Digital Shadows Searchlight,以將其記錄提取至 Microsoft Sentinel。 這可能會產生額外的資料擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - Digital Shadows Searchlight API 的設定步驟
提供者應該提供或連結至詳細步驟,以設定 'Digital Shadows Searchlight' API 端點,以便 Azure Function 可以成功對其進行驗證、取得其授權金鑰或權杖,並將設備的記錄提取至 Microsoft Sentinel。
步驟 2 - 從下列兩個部署選項中選擇一個選項,以部署連接器和相關聯的 Azure Function
重要事項:部署 Digital Shadows Searchlight 連接器之前,請具有可供立即使用的工作區識別碼和工作區主索引鍵 (可從下列複製),以及 Digital Shadows Searchlight API 授權金鑰或權杖。
選項 1 - Azure Resource Manager (ARM) 範本
使用此方法自動部署 Digital Shadows Searchlight 連接器。
按一下下方的 [部署至 Azure] 按鈕。
選取偏好的 [訂用帳戶]、[資源群組] 和 [位置]。
輸入工作區識別碼、工作區金鑰、API 使用者名稱、API 密碼、「及/或其他必要欄位」。
若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述以取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。 4.選取標示著 [我同意上述條款及條件] 的核取方塊。 5.按一下 [購買] 以部署。
選項 2 - Azure Functions 手動部署
使用下列逐步指示,搭配 Azure Functions 手動部署 Digital Shadows Searchlight 連接器。
建立函數應用程式
從 Azure 入口網站中,瀏覽至函數應用程式。
按一下頂端的 [+ 建立]。
在 [基本] 索引標籤中,確定執行階段堆疊設定為 [python 3.8]。
在 [裝載] 索引標籤中,確定 [方案類型] 設定為 [使用量 (無伺服器)]。 5. 選取儲存體帳戶
「新增其他必要設定」。
如有需要,「進行其他偏好的設定變更」,然後按一下 [建立]。
匯入函數應用程式程式碼 (Zip 部署)
安裝 Azure CLI
從終端機輸入
az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File>,然後按 Enter 鍵。 將ResourceGroup值設定為:您的資源群組名稱。 將FunctionApp值設定為:您新建立的函數應用程式名稱。 將Zip File值設定為:digitalshadowsConnector.zip(ZIP 檔案的路徑)。 注意:- 從連結下載 ZIP 檔案 - 函數應用程式程式碼設定函數應用程式
在 [函數應用程式] 畫面中,按一下函數應用程式名稱,然後選取 [設定]。
在 [應用程式設定] 索引標籤中,選取 [+ 新應用程式設定]。
在 [名稱] 底下,個別新增下列每個 'x (編號)' 應用程式設定,其各自的字串值(區分大小寫) 位於 [值]: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (選擇性) (新增 Function App 所需的任何其他設定) 將
DigitalShadowsURL值設定為:https://api.searchlight.app/v1將HighVariabilityClassifications值設定為:exposed-credential,marked-document將ClassificationFilterOperation值設定為:exclude排除函數應用程式,或include包含函數應用程式
若針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})結構描述來取代字串值。 如需進一步的詳細資料,請參閱 Azure Key Vault 參考文件 (部分機器翻譯)。
- 使用 logAnalyticsUri 覆寫專用雲端的記錄分析 API 端點。 例如,對於公用雲端,請將值保留為空白;對於 Azure GovUS 雲端環境,請以下列格式指定值:
https://<CustomerId>.ods.opinsights.azure.us。
- 輸入所有應用程式設定之後,請按一下 [儲存]。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。