Konektor SIGNL4 pro Derdack pro Microsoft Sentinel

  • Článek

Když dojde k selhání kritických systémů nebo k incidentům zabezpečení, SIGNL4 přemístní "poslední míli" vašim zaměstnancům, technikům, správcům IT a pracovníkům v terénu. V reálném čase přidává mobilní výstrahy do služeb, systémů a procesů bez času. SIGNL4 upozorní prostřednictvím trvalého mobilního nabízení, sms textu a hlasových hovorů s potvrzením, sledováním a eskalací. Integrované plánování povinností a směn zajistí, aby správné osoby byly upozorněny ve správný čas.

Další informace >

Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.

atributy Připojení oru

atribut Připojení or Popis
Tabulky Log Analytics SIGNL4_CL
Podpora pravidel shromažďování dat V současnosti není podporováno
Podporováno Derdack

Ukázky dotazů

Získejte upozornění a informace o stavu SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Pokyny k instalaci dodavatele

Poznámka:

Tento datový konektor je nakonfigurovaný hlavně na straně SIGNL4. Popisové video najdete tady: Integrace SIGNL4 se službou Microsoft Sentinel.

SIGNL4 Připojení or: Konektor SIGNL4 pro Microsoft Sentinel, Azure Security Center a další poskytovatele Rozhraní API pro zabezpečení Azure Graph poskytuje bezproblémovou dvoucestnou integraci s vašimi řešeními zabezpečení Azure. Po přidání do týmu SIGNL4 bude konektor číst výstrahy zabezpečení ze služby Azure Graph Rozhraní API pro zabezpečení a plně automaticky a aktivovat oznámení o výstrahách členům vašeho týmu, kteří mají povinnost. Bude také synchronizovat stav upozornění z SIGNL4 do Graphu Rozhraní API pro zabezpečení, takže pokud jsou upozornění potvrzena nebo uzavřena, aktualizuje se tento stav také na základě příslušného poskytovatele zabezpečení služby Azure Graph Rozhraní API pro zabezpečení. Jak už bylo zmíněno, konektor používá hlavně Azure Graph Rozhraní API pro zabezpečení, ale u některých poskytovatelů zabezpečení, jako je Microsoft Sentinel, používá také vyhrazená rozhraní REST API z odpovídajících řešení Azure.

Funkce Microsoft Sentinelu

Microsoft Sentinel je cloudové nativní řešení SIEM od Microsoftu a poskytovatele výstrah zabezpečení ve službě Azure Graph Rozhraní API pro zabezpečení. Úroveň podrobností výstrah dostupných pro Graph Rozhraní API pro zabezpečení je ale pro Microsoft Sentinel omezená. Konektor proto může rozšířit výstrahy o další podrobnosti (výsledky hledání v pravidlech přehledů) z podkladového pracovního prostoru služby Microsoft Sentinel Log Analytics. Abyste to mohli udělat, konektor komunikuje s rozhraním REST API služby Azure Log Analytics a potřebuje příslušná oprávnění (viz níže). Kromě toho může aplikace také aktualizovat stav incidentů Microsoft Sentinelu, pokud jsou všechny související výstrahy zabezpečení například probíhající nebo vyřešené. Aby to bylo možné provést, musí být konektor členem skupiny Přispěvatelé Microsoft Sentinelu ve vašem předplatném Azure. Automatizované nasazení v Azure Přihlašovací údaje potřebné pro přístup k výše uvedeným rozhraním API se generují malým skriptem PowerShellu, který si můžete stáhnout níže. Skript za vás provede následující úlohy:

  • Přihlásíte se ke svému předplatnému Azure (přihlaste se pomocí účtu správce).
  • Vytvoří novou podnikovou aplikaci pro tento konektor ve vašem ID Microsoft Entra, označované také jako instanční objekt.
  • Vytvoří novou roli ve službě Azure IAM, která uděluje oprávnění ke čtení a dotazování pouze pracovním prostorům Azure Log Analytics.
  • Připojí podnikovou aplikaci k této roli uživatele.
  • Připojí podnikovou aplikaci k roli Přispěvatelé Microsoft Sentinelu.
  • Vypíše některá data, která potřebujete ke konfiguraci aplikace (viz níže).

Postup nasazení

  1. Odtud si stáhněte skript nasazení PowerShellu.
  2. Zkontrolujte skript a role a obory oprávnění, které nasadí pro novou registraci aplikace. Pokud nechcete používat konektor s Microsoft Sentinelem, můžete odebrat veškerý kód vytvoření role a přiřazení role a použít ho jenom k vytvoření registrace aplikace (SPN) ve vašem ID Microsoft Entra.
  3. Spusťte skript. Na konci vypíše informace, které potřebujete zadat v konfiguraci aplikace konektoru.
  4. V Microsoft Entra ID klikněte na Registrace aplikací. Vyhledejte aplikaci s názvem SIGNL4AzureSecurity a otevřete její podrobnosti.
  5. V levém okně nabídky klikněte na Oprávnění rozhraní API. Potom klikněte na Přidat oprávnění.
  6. V okně, které se načte, klikněte v části Microsoft API na dlaždici Microsoft Graph a pak klikněte na Oprávnění aplikace.
  7. V zobrazené tabulce rozbalte Položku SecurityEvents a zkontrolujte SecurityEvents.Read.All a SecurityEvents.ReadWrite.All.
  8. Klikněte na Přidat oprávnění.

Konfigurace aplikace konektoru SIGNL4

Nakonec zadejte ID, která skript vypíše v konfiguraci konektoru:

  • ID tenanta Azure
  • Azure Subscription ID
  • ID klienta (podnikové aplikace)
  • Tajný klíč klienta (podnikové aplikace) Jakmile je aplikace povolená, začne číst upozornění Rozhraní API pro zabezpečení Azure Graphu.

POZNÁMKA: Zpočátku se budou číst pouze výstrahy, ke kterým došlo během posledních 24 hodin.

Další kroky

Další informace najdete v souvisejícím řešení na Azure Marketplace.