Darktrace Připojení or konektor REST API pro Microsoft Sentinel

  • Článek

Konektor Darktrace REST API nasdílí události v reálném čase z Darktrace do Microsoft Sentinelu a je navržený tak, aby se používal s řešením Darktrace pro Sentinel. Konektor zapisuje protokoly do vlastní tabulky protokolů s názvem "darktrace_model_alerts_CL"; Porušení modelů, incidenty analytiků AI, upozornění systému a e-mailová upozornění se dají ingestovat – na stránce Konfigurace systému darktrace je možné nastavit další filtry. Data se nasdílí do služby Sentinel z hlavních serverů Darktrace.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics darktrace_model_alerts_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Darktrace

Ukázky dotazů

Vyhledání testovacích upozornění

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Vrácení porušení modelu darktrace s nejvyšším skóre

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Vrácení incidentů analytika AI

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Vrácení upozornění na stav systému

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Vrácení e-mailových protokolů pro konkrétního externího odesílatele (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Požadavky

Pokud chcete integrovat s Připojení orem Darktrace pro rozhraní REST API služby Microsoft Sentinel, ujistěte se, že máte:

  • Požadavky na darktrace: K použití tohoto datového Připojení se vyžaduje hlavní server Darktrace se systémem v5.2 nebo novějším. Data se odesílají do rozhraní API kolektoru dat HTTP služby Azure Monitor přes protokolY HTTPs z hlavních serverů Darktrace, proto je vyžadováno odchozí připojení z hlavního serveru Darktrace do rozhraní REST API služby Microsoft Sentinel.
  • Filtrovat data darktrace: Během konfigurace je možné nastavit další filtrování na stránce Konfigurace systému Darktrace tak, aby omezilo množství nebo typy odesílaných dat.
  • Vyzkoušejte řešení Darktrace Sentinel: Z tohoto konektoru můžete využít maximum instalací řešení Darktrace pro Microsoft Sentinel. Díky tomu budou sešity vizuálně vizualizovat pravidla pro data výstrah a analýzy, která automaticky vytvoří výstrahy a incidenty z porušení modelu Darktrace a incidentů analytiků AI.

Pokyny k instalaci dodavatele

  1. Podrobné pokyny k nastavení najdete na zákaznickém portálu Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Poznamenejte si ID pracovního prostoru a primární klíč. Tyto podrobnosti budete muset zadat na stránce Konfigurace systému Darktrace.

Konfigurace darktrace

  1. Na stránce Konfigurace systému Darktrace proveďte následující kroky:
  2. Přejděte na stránku Konfigurace systému (hlavní nabídka > Správa > konfigurace systému)
  3. Přejděte do konfigurace modulů a klikněte na kartu konfigurace Microsoft Sentinel.
  4. Vyberte HTTPS (JSON) a stiskněte Nový.
  5. Vyplňte požadované podrobnosti a vyberte odpovídající filtry.
  6. Kliknutím na Ověřit Nastavení výstrahy se pokuste o ověření a odešlete testovací výstrahu.
  7. Spuštěním ukázkového dotazu Vyhledat testovací výstrahy ověřte, že byla přijata testovací výstraha.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.