Konektor Dataminr Pulse Alerts Data Připojení or (pomocí Azure Functions) pro Microsoft Sentinel

  • Článek

Dataminr Pulse Alerts Data Připojení or přináší do Microsoft Sentinelu naši inteligenci využívající umělou inteligenci v reálném čase pro rychlejší detekci hrozeb a reakci.

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Kód aplikace funkcí Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Tabulky Log Analytics DataminrPulse_Alerts_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Podpora dataminru

Ukázky dotazů

Dataminr Pulse Alerts Data for all alertTypes

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Požadavky

Pokud se chcete integrovat s daty upozornění služby Dataminr Pulse Připojení or (pomocí Azure Functions), ujistěte se, že máte:

  • Předplatné Azure: Předplatné Azure s rolí vlastníka se vyžaduje k registraci aplikace v MICROSOFT Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
  • Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
  • Požadované přihlašovací údaje nebo oprávnění dataminru:

a. Uživatelé musí mít platné ID klienta rozhraní Dataminr Pulse API a tajný kód pro použití tohoto datového konektoru.

b. Nejméně jeden seznam ke zhlédnutí Dataminr Pulse musí být nakonfigurovaný na webu Dataminr Pulse.

Pokyny k instalaci dodavatele

Poznámka:

Tento konektor používá Azure Functions k připojení k DataminrPulse, ve kterém se protokoly odsílají prostřednictvím protokolu Dataminr RTAP a budou ingestovat protokoly do Služby Microsoft Sentinel. Konektor navíc načte ingestované data z vlastní tabulky protokolů a vytvoří indikátory analýzy hrozeb do analýzy hrozeb Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.

(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

KROK 1– Přihlašovací údaje pro ID klienta Dataminr Pulse a tajný klíč klienta

  • Získejte ID uživatele a heslo a ID klienta rozhraní API dataminr Pulse nebo tajný klíč od vašeho správce úspěchu zákazníka Dataminr (CSM).

KROK 2: Konfigurace seznamů ke zhlédnutí na portálu Dataminr Pulse

Podle kroků v této části nakonfigurujte seznamy ke zhlédnutí na portálu:

  1. Přihlaste se k webu Dataminr Pulse.

  2. Klikněte na ikonu ozubeného kolečka nastavení a vyberte Spravovat seznamy.

  3. Vyberte typ seznamu ke zhlédnutí, který chcete vytvořit (Cyber, Topic, Company atd.) a klikněte na tlačítko Nový seznam .

  4. Zadejte název nového seznamu ke zhlédnutí a vyberte barvu zvýraznění nebo ponechte výchozí barvu.

  5. Až dokončíte konfiguraci seznamu ke zhlédnutí, uložte ho kliknutím na Uložit .

KROK 3 : Kroky registrace aplikace pro aplikaci v Microsoft Entra ID

Tato integrace vyžaduje registraci aplikace na webu Azure Portal. Podle kroků v této části vytvořte novou aplikaci v MICROSOFT Entra ID:

  1. Přihlaste se k portálu Azure.
  2. Vyhledejte a vyberte Microsoft Entra ID.
  3. V části Spravovat vyberte Registrace aplikací > Nová registrace.
  4. Zadejte zobrazovaný název aplikace.
  5. Výběrem možnosti Zaregistrovat dokončete počáteční registraci aplikace.
  6. Po dokončení registrace se na webu Azure Portal zobrazí podokno Přehled registrace aplikace. Zobrazí se ID aplikace (klienta) a ID tenanta. ID klienta a ID tenanta jsou vyžadovány jako parametry konfigurace pro spuštění dataminrPulse Data Připojení or.

Referenční odkaz:/azure/active-directory/develop/quickstart-register-app

KROK 4 : Přidání tajného klíče klienta pro aplikaci v Microsoft Entra ID

Někdy se označuje jako heslo aplikace, tajný klíč klienta je řetězcová hodnota požadovaná pro spuštění dataminrPulse Data Připojení or. Podle kroků v této části vytvořte nový tajný klíč klienta:

  1. Na webu Azure Portal v Registrace aplikací vyberte svou aplikaci.
  2. Vyberte Certifikáty a tajné > klíče > klienta Nové tajné klíče klienta.
  3. Přidejte popis tajného kódu klienta.
  4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost. Limit je 24 měsíců.
  5. Vyberte Přidat.
  6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opuštění této stránky se tento tajný kód už nikdy nezobrazí. Hodnota tajného kódu je vyžadována jako parametr konfigurace pro spuštění dataminrPulse Data Připojení or.

Referenční odkaz:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 5: Přiřazení role Přispěvatel k aplikaci v ID Microsoft Entra

Přiřaďte roli podle kroků v této části:

  1. Na webu Azure Portal přejděte do skupiny prostředků a vyberte skupinu prostředků.
  2. V levém panelu přejděte na Řízení přístupu (IAM ).
  3. Klikněte na Přidat a pak vyberte Přidat přiřazení role.
  4. Vyberte Přispěvatel jako roli a klikněte na další.
  5. V možnosti Přiřadit přístup vyberte User, group, or service principal.
  6. Klikněte na přidat členy a zadejte název aplikace, který jste vytvořili, a vyberte ho.
  7. Teď klikněte na Zkontrolovat a přiřadit a pak znovu klikněte na Zkontrolovat a přiřadit.

Referenční odkaz:/azure/role-based-access-control/role-assignments-portal

KROK 6: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.

DŮLEŽITÉ: Před nasazením datového konektoru Dataminr Pulse Microsoft Sentinelu je možné snadno zkopírovat ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího).

Možnost 1 – Šablona Azure Resource Manageru (ARM)

Tuto metodu použijte pro automatizované nasazení konektoru DataminrPulse.

  1. Klikněte níže na tlačítko Nasadit do Azure .

    Nasadit do Azure

  2. Vyberte upřednostňované předplatné, skupinu prostředků a umístění.

  3. Zadejte následující informace: Název pracovního prostoru ID pracovního prostoru Id pracovního prostoru Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.

  5. Kliknutím na Koupit nasadíte.

Možnost 2 – Ruční nasazení služby Azure Functions

Pomocí následujících podrobných pokynů nasaďte datový konektor Dataminr Pulse Microsoft Sentinelu ručně pomocí služby Azure Functions (nasazení přes Visual Studio Code).

  1. Nasazení aplikace funkcí

Poznámka:

Budete muset připravit VS Code pro vývoj funkcí Azure.

  1. Stáhněte si soubor aplikace funkcí Azure. Extrahujte archiv do místního vývojového počítače.

  2. Spusťte VS Code. V hlavní nabídce zvolte Soubor a vyberte Otevřít složku.

  3. Vyberte složku nejvyšší úrovně z extrahovaných souborů.

  4. Na panelu aktivit zvolte ikonu Azure a pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí. Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit a pak v oblasti Azure: Functions zvolte Přihlásit se k Azure , pokud už jste přihlášení, přejděte k dalšímu kroku.

  5. Podle pokynů na obrazovce zadejte tyto informace:

    a. Vyberte složku: Zvolte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.

    b. Vyberte Předplatné: Zvolte předplatné, které chcete použít.

    c. Vyberte Vytvořit novou aplikaci funkcí v Azure (nevybírejte možnost Upřesnit).

    d. Zadejte globálně jedinečný název aplikace funkcí: Zadejte název, který je platný v cestě URL. Název, který zadáte, se ověří, aby se zajistilo, že je jedinečný ve službě Azure Functions. (např. DmPulseXXXXX).

    e. Vyberte modul runtime: Zvolte Python 3.8 nebo novější.

    f. Vyberte umístění pro nové prostředky. Pokud chcete dosáhnout lepšího výkonu a nižších nákladů, zvolte stejnou oblast , ve které se nachází Microsoft Sentinel.

  6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

  7. Přejděte na Web Azure Portal pro konfiguraci aplikace funkcí.

  1. Konfigurace aplikace funkcí
  1. V aplikaci funkcí vyberte název aplikace funkcí a vyberte Konfigurace.
  2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.
  3. Přidejte každou z následujících nastavení aplikace jednotlivě s příslušnými hodnotami (rozlišují se malá a velká písmena): Id pracovního prostoru id pracovního prostoru funkcí AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (volitelné)
  • K přepsání koncového bodu rozhraní API log Analytics pro vyhrazený cloud použijte logAnalyticsUri. Například pro veřejný cloud ponechte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po zadání všech nastavení aplikace klikněte na Uložit.

KROK 7 – Kroky po nasazení

  1. Získání koncového bodu aplikace funkcí
  1. Přejděte na stránku Přehled funkce Azure a v levém okně klikněte na Funkce .
  2. Klikněte na funkci s názvem DataminrPulseAlertsHttpStarter.
  3. Přejděte na GetFunctionurl a zkopírujte adresu URL funkce.
  4. Nahraďte {functionname} kopírovanou adresou URL funkce DataminrPulseAlertsSentinelOrchestrator.
  1. Přidání nastavení integrace do dataminr RTAP pomocí adresy URL funkce
  1. Otevřete jakýkoli nástroj žádosti o rozhraní API, jako je Postman.
  2. Kliknutím na + vytvořte novou žádost.
  3. Vyberte metodu požadavku HTTP jako POST.
  4. Do části adresa URL požadavku zadejte adresu URL předem zadaná v bodě 1).
  5. V textu vyberte nezpracovaný kód JSON a zadejte text požadavku jako níže(rozlišují se malá a velká písmena): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Po zadání všech požadovaných podrobností klikněte na Odeslat.
  7. V odpovědi HTTP obdržíte ID nastavení integrace se stavovým kódem 200.
  8. Uložte ID integrace pro budoucí referenci.

Teď jsme hotovi s přidáním nastavení integrace pro Dataminr RTAP. Jakmile Dataminr RTAP odešle data upozornění, aktivuje se aplikace funkcí a měli byste být schopni zobrazit data výstrah z tabulky pracovního prostoru Dataminr Pulse do tabulky pracovního prostoru LogAnalytics s názvem "DataminrPulse_Alerts_CL".

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.