Darktrace Connector-REST-API-Connector für Microsoft Sentinel

  • Artikel

Der Darktrace-REST-API-Connector pusht Echtzeitereignisse aus Darktrace an Microsoft Sentinel und ist für die Verwendung mit der Darktrace-Lösung für Sentinel konzipiert. Der Connector schreibt Protokolle in eine benutzerdefinierte Protokolltabelle mit dem Titel „darktrace_model_alerts_CL“. Modellverstöße, AI Analyst-Incidents, Systemwarnungen und E-Mail-Warnungen können erfasst werden. Zusätzliche Filter können auf der Seite „Darktrace-Systemkonfiguration“ eingerichtet werden. Daten werden von Darktrace-Mastern an Sentinel gepusht.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen darktrace_model_alerts_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Darktrace

Abfragebeispiele

Nach Testwarnungen suchen

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Darktrace-Modellverstöße mit der höchsten Bewertung zurückgeben

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

AI Analyst-Incidents zurückgeben

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Warnungen zur Systemintegrität zurückgeben

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

E-Mail-Protokolle für einen bestimmten externen Absender (example@test.com) zurückgeben

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Voraussetzungen

Stellen Sie für die Integration in Darktrace Connector für Microsoft Sentinel-REST-API sicher, dass Folgendes vorhanden ist:

  • Voraussetzungen für Darktrace: Um diesen Datenconnector verwenden zu können, ist ein Darktrace-Master mit Version 5.2 und höher erforderlich. Daten werden von Darktrace-Mastern über HTTPs an die HTTP-Datensammler-API von Azure Monitor gesendet. Daher ist eine ausgehende Konnektivität zwischen dem Darktrace-Master und der Microsoft Sentinel-REST-API erforderlich.
  • Filtern von Darktrace-Daten: Während der Konfiguration ist es möglich, eine zusätzliche Filterung auf der Darktrace-Seite „Systemkonfiguration“ einzurichten, um die Menge oder Typen der gesendeten Daten einzuschränken.
  • Probieren Sie die Darktrace Sentinel-Lösung aus: Sie können diesen Connector optimal nutzen, indem Sie die Darktrace-Lösung für Microsoft Sentinel installieren. Dadurch werden Arbeitsmappen bereitgestellt, um Warnungsdaten zu visualisieren, sowie Analyseregeln, um automatisch Warnungen und Incidents aus Darktrace-Modellverstößen und AI Analyst-Incidents zu erstellen.

Installationsanweisungen des Anbieters

  1. Ausführliche Einrichtungsanweisungen finden Sie im Darktrace-Kundenportal: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction.
  2. Notieren Sie sich die Arbeitsbereichs-ID und den Primärschlüssel. Sie müssen diese Details auf der Darktrace-Seite „Systemkonfiguration“ eingeben.

Darktrace-Konfiguration

  1. Führen Sie die folgenden Schritte auf der Darktrace-Seite „Systemkonfiguration“ aus:
  2. Navigieren Sie zur Seite „Systemkonfiguration“ (Hauptmenü > Admin > Systemkonfiguration).
  3. Wechseln Sie zur „Modulkonfiguration“, und klicken Sie auf die Konfigurationskarte „Microsoft Sentinel“.
  4. Wählen Sie „HTTPS (JSON)“ aus, und klicken Sie auf „Neu“.
  5. Geben Sie die erforderlichen Details ein, und wählen Sie die entsprechenden Filter aus.
  6. Klicken Sie auf „Warnungseinstellungen überprüfen“, um die Authentifizierung zu versuchen und eine Testwarnung zu senden.
  7. Führen Sie die Beispielabfrage „Nach Testwarnungen suchen“ (Look for Test Alerts) aus, um zu überprüfen, ob die Testwarnung empfangen wurde.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.