共用方式為

適用於 Microsoft Sentinel 的 Derdack SIGNL4 連接器

  • 發行項

當重大系統失敗或發生安全性事件時,SIGNL4 會將 「最後一英里」橋接至您現場的員工、工程師、IT 系統管理員和工作人員。 它會將即時行動警示新增至您的服務、系統和程序。 SIGNL4 會透過持續的行動推播、簡訊文字和語音電話進行通知,並提供確認、追蹤和升級。 整合式值班和輪班排程可確保適當的人員在適當的時間收到警示。

深入了解>

這是自動產生的內容。 如需變更,請連絡解決方案提供者。

連接器屬性

連接器屬性 描述
記錄分析資料表 SIGNL4_CL
資料收集規則支援 目前不支援
支援者: Derdack

查詢範例

取得 SIGNL4 警示和狀態資訊。

SecurityIncident

| where Labels contains "SIGNL4"

廠商安裝指示

注意

此資料連接器主要設定於 SIGNL4 端。 您可以在這裡找到說明影片:整合 SIGNL4 與 Microsoft Sentinel

SIGNL4 連接器:Microsoft Sentinel、Azure 資訊安全中心和其他 Azure Graph 安全性 API 提供者的 SIGNL4 連接器提供與 Azure 安全性解決方案的雙向無縫整合。 新增至 SIGNL4 小組後,連接器會從 Azure Graph 安全性 API 讀取安全性警示,並且對值班的小組成員自動觸發警示通知。 它也會將警示狀態從 SIGNL4 同步處理至 Graph 安全性 API,如此一來,如果警示得到確認或關閉,此狀態也會在相應的 Azure Graph 安全性 API 警示或對應的安全性提供者上更新。 如上所述,連接器主要使用 Azure Graph 安全性 API,但是對於某些安全性提供者 (例如 Microsoft Sentinel),其也會使用來自相應的 Azure 解決方案的專用 REST API。

Microsoft Sentinel 功能

Microsoft Sentinel 是來自 Microsoft 的雲端原生 SIEM 解決方案,也是 Azure Graph 安全性 API 中的安全性警示提供者。 不過,Graph 安全性 API 提供的警示詳細資料層級受限於 Microsoft Sentinel。 因此,連接器可從基礎 Microsoft Sentinel Log Analytics 工作區使用進一步的詳細資料 (深入解析規則搜尋結果) 來增強警示。 為了能夠這麼做,連接器會與 Azure Log Analytics REST API 通訊,且需要相應的權限 (請參閱下文)。 此外,當所有相關的安全性警示正在進行中或已解決時,應用程式也可以更新 Microsoft Sentinel 事件的狀態。 若要能夠這麼做,連接器必須是 Azure 訂用帳戶中「Microsoft Sentinel 參與者」群組的成員。 Azure 中的自動化部署 用以存取前面提到的 API 所需的認證,是由您可在下面下載的小型 PowerShell 指令碼所產生。 此指令碼會為您執行下列作業:

  • 登入您的 Azure 訂用帳戶 (請使用系統管理員帳戶登入)
  • 在您的 Microsoft Entra ID 中建立此連接器的新企業應用程式,也稱為服務主體
  • 在您的 Azure IAM 中建立新角色,該角色只會授與 Azure Log Analytics 工作區的讀取/查詢權限。
  • 將企業應用程式加入至該使用者角色
  • 將企業應用程式加入至「Microsoft Sentinel 參與者」角色
  • 輸出您需要設定應用程式的一些資料 (請參閱下方)

部署程序

  1. 這裡下載 PowerShell 部署指令碼。
  2. 檢閱指令碼及其針對新應用程式註冊所部署的角色和權限範圍。 如果您不想使用連接器搭配 Microsoft Sentinel,您可移除所有角色建立和角色指派程式碼,僅使用它在 Microsoft Entra ID 中建立應用程式註冊 (SPN)。
  3. 執行指令碼。 最後,它會輸出您需要在連接器應用程式組態中輸入的資訊。
  4. 在 Microsoft Entra ID 中,按一下 [應用程式註冊]。 尋找名稱為 'SIGNL4AzureSecurity' 的應用程式,並開啟其詳細資料
  5. 在左側功能表刀鋒視窗上,按一下 [API 權限]。 然後按一下 [新增權限]。
  6. 在載入的刀鋒視窗上,按一下 [Microsoft API] 底下的 [Microsoft Graph] 圖格,然後按一下 [應用程式權限]。
  7. 在顯示的資料表中,展開 [SecurityEvents] 並檢查 [SecurityEvents.Read.All] 和 [SecurityEvents.ReadWrite.All]。
  8. 按一下 [新增權限]。

設定 SIGNL4 連接器應用程式

最後,輸入指令碼在連接器組態中輸出的識別碼:

  • Azure 租用戶 ID
  • Azure 訂閱識別碼
  • 用戶端識別碼 (屬於企業應用程式)
  • 用戶端密碼 (屬於企業應用程式) 一旦啟用應用程式,就會開始讀取您的 Azure Graph 安全性 API 警示。

注意: 它一開始只會讀取過去 24 小時內發生的警示。

下一步

如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。