Dataminr Pulse Alerts Data Connector (mediante Azure Functions) conector para Microsoft Sentinel

  • Artículo

Dataminr Pulse Alerts Data Connector aporta nuestra inteligencia en tiempo real con tecnología de inteligencia artificial a Microsoft Sentinel para una detección y respuesta más rápidas de amenazas.

Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Código de la aplicación de funciones de Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Tabla de Log Analytics DataminrPulse_Alerts_CL
Compatibilidad con reglas de recopilación de datos No se admite actualmente.
Compatible con Compatibilidad con Dataminr

Ejemplos de consultas

Dataminr Pulse Alerts Data para todos los alertTypes 

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Requisitos previos

Para realizar la integración con Dataminr Pulse Alerts Data Connector (mediante Azure Functions), asegúrese de que tiene:

  • suscripción de Azure: Se requiere la suscripción de Azure con el rol de propietario para registrar una aplicación en Microsoft Entra ID y asignar el rol de colaborador a la aplicación en el grupo de recursos.
  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • Credenciales y permisos necesarios de Dataminr:

a. Los usuarios deben tener un Dataminr Pulse API válidoId. de cliente y secreto para usar este conector de datos.

b. Se deben configurar una o varias listas de reproducción de Dataminr Pulse en el sitio web de Dataminr Pulse.

Instrucciones de instalación del proveedor

Nota:

Este conector usa Azure Functions para conectarse a DataminrPulse en el que los registros se insertan a través de RTAP de Dataminr y ingerirán registros en Microsoft Sentinel. Además, el conector capturará los datos ingeridos de la tabla de registros personalizados y creará indicadores de Inteligencia sobre amenazas en Inteligencia sobre amenazas de Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Credenciales para el id. de cliente de Pulse Dataminr y el secreto de cliente

  • Obtenga el Id. de usuario/contraseña de Dataminr Pulse y el Id. de cliente/secreto de API de Customer Success Manager (CSM) de Dataminr.

PASO 2: Configurar listas de reproducción en el portal de Dataminr Pulse.

Siga los pasos de esta sección para configurar listas de reproducción en el portal:

  1. Inicie sesión en el sitio web de Dataminr Pulse.

  2. Haga clic en el icono de engranaje de configuración y seleccione Administrar listas.

  3. Seleccione el tipo de Lista de reproducción que desea crear (Cyber, Topic, Company, etc.) y haga clic en el botón Nueva lista.

  4. Proporcione un nombre para la nueva lista de reproducción y seleccione un color de resaltado para ella o mantenga el color predeterminado.

  5. Cuando haya terminado de configurar la lista de reproducción, haga clic en Guardar para guardarla.

PASO 3: Pasos de registro de aplicaciones para la aplicación en Microsoft Entra ID

Esta integración requiere un registro de aplicaciones en Azure Portal. Siga los pasos de esta sección para crear una nueva aplicación en Microsoft Entra ID:

  1. Inicie sesión en Azure Portal.
  2. Busque y seleccione Microsoft Entra ID.
  3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.
  4. Escriba un Nombre de usuario para la aplicación.
  5. Seleccione Registrar para completar el registro inicial de la aplicación.
  6. Cuando finaliza el registro, en Azure Portal se muestra el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) y id. de inquilino. El Id. de cliente y el Id. de inquilino son necesarios como parámetros de configuración para la ejecución de DataminrPulse Data Connector.

Vínculo de referencia:/azure/active-directory/develop/quickstart-register-app

PASO 4: Agregar un secreto de cliente para la aplicación en Microsoft Entra ID

A veces se denomina contraseña de aplicación, un secreto de cliente es un valor de cadena necesario para la ejecución de DataminrPulse Data Connector. Siga los pasos de esta sección para crear un nuevo secreto de cliente:

  1. En Azure Portal, seleccione la aplicación en Registros de aplicaciones.
  2. Seleccione Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.
  3. Agregue una descripción para el secreto de cliente.
  4. Seleccione una expiración para el secreto o especifique una duración personalizada. El límite es de 24 meses.
  5. Seleccione Agregar.
  6. Registre el valor del secreto para su uso en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página. El valor del secreto es necesario como parámetro de configuración para la ejecución de DataminrPulse Data Connector.

Vínculo de referencia:azure/active-directory/develop/quickstart-register-app#add-a-client-secret

PASO 5: Asignación de un rol de colaborador a la aplicación en Microsoft Entra ID

Siga los pasos de esta sección para asignar el rol:

  1. En Azure Portal, vaya a Grupo de recursos y seleccione el grupo de recursos.
  2. Vaya a Control de acceso (IAM) desde el panel izquierdo.
  3. Haga clic en Agregar, y a continuación seleccione Agregar asignación de roles.
  4. Seleccione Colaborador como rol y haga clic en siguiente.
  5. En Asignar acceso a, seleccione User, group, or service principal.
  6. Haga clic en agregar miembros y escriba el nombre de la aplicación que ha creado y selecciónelo.
  7. Ahora haga clic en Revisar y asignar y, a continuación, haga clic de nuevo en Revisar y asignar.

Vínculo de referencia:/azure/role-based-access-control/role-assignments-portal

PASO 6: Elija UNO de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector de datos Dataminr Pulse Microsoft Sentinel, haga que el id. del área de trabajo y la clave principal del área de trabajo (se pueden copiar de lo siguiente) estén disponibles fácilmente.

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector DataminrPulse.

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba la siguiente información : Nombre de la función Id. del área de trabajo Clave del área de trabajo AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.

  5. Haga clic en Comprar para iniciar la implementación.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar el conector de datos Dataminr Pulse Microsoft Sentinel manualmente con Azure Functions (implementación mediante Visual Studio Code).

  1. Implemente una aplicación de funciones

Nota:

Deberá preparar VS Code para el desarrollo de funciones de Azure.

  1. Descargue el archivo Aplicación de funciones de Azure. Extraiga el archivo en su equipo de desarrollo local.

  2. Inicie VS Code. Elija Archivo en el menú principal y seleccione Abrir carpeta.

  3. Seleccione la carpeta de nivel superior de los archivos extraídos.

  4. Seleccione el icono de Azure en la barra de actividades y después, en el área Azure: Functions, seleccione el botón de implementación en la aplicación de funciones. Si aún no ha iniciado sesión, seleccione el icono de Azure en la barra de actividades y después en el área Azure: Functions, seleccione Iniciar sesión en Azure. Si ya había iniciado sesión, vaya al paso siguiente.

  5. Escriba la siguiente información cuando se le indique:

    a. Seleccionar carpeta: elija una carpeta de su área de trabajo o busque una que contenga su aplicación de funciones.

    b. Seleccionar la suscripción: elija la suscripción que desee usar.

    c. Seleccionar Crear aplicación de funciones en Azure (no elija la opción Opciones avanzadas)

    d. Escribir un nombre único global para la aplicación de funciones: escriba un nombre que sea válido en una ruta de acceso de la dirección URL, El nombre que escriba se valida para asegurarse de que es único en Azure Functions. (por ejemplo, DmPulseXXXXX).

    e. Seleccionar un entorno de ejecución: seleccione Python 3.8 o versiones posteriores.

    f. Seleccione una ubicación para los nuevos recursos. Para mejorar el rendimiento y reducir los costos, elija la misma región donde se encuentra Microsoft Sentinel.

  6. Se inicia la implementación. Una vez que se haya creado la aplicación de función se mostrará una notificación y se aplicará el paquete de implementación.

  7. Vaya a Azure Portal para la configuración de la aplicación de funciones.

  1. Configuración de la aplicación de funciones
  1. En la aplicación de funciones, seleccione el nombre de la aplicación de funciones y, después, Configuración.
  2. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.
  3. Agregue cada una de las siguientes opciones de configuración de la aplicación individualmente, con sus respectivos valores (distingue mayúsculas de minúsculas): Nombre de la función Id del área de trabajo Clave del área de trabajo AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (opcional)
  • Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us.
  1. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

PASO 7: Pasos posteriores a la implementación

  1. Obtención del punto de conexión de la aplicación de funciones
  1. Vaya a la página Información general de la función de Azure y haga clic en "Functions" en la hoja izquierda.
  2. Haga clic en la función denominada "DataminrPulseAlertsHttpStarter".
  3. Vaya a "GetFunctionurl" y copie la dirección URL de la función.
  4. Reemplace {functionname} con "DataminrPulseAlertsSentinelOrchestrator" en la dirección URL de la función copiada.
  1. Para agregar la configuración de integración en Dataminr RTAP mediante la dirección URL de la función
  1. Abra cualquier herramienta de solicitud de API como Postman.
  2. Haga clic en "+" para crear una nueva solicitud.
  3. Seleccione el método de solicitud HTTP como "POST".
  4. Escriba la dirección URL prepapred en punto 1), en el elemento URL de solicitud.
  5. En Cuerpo, seleccione JSON sin formato y proporcione el cuerpo de la solicitud como se indica a continuación(distingue mayúsculas de minúsculas): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Después de proporcionar todos los detalles necesarios, haga clic en Enviar.
  7. Recibirá un id. de configuración de integración en la respuesta HTTP con un código de estado de 200.
  8. Guarde id. de integración para obtener una referencia futura.

Ahora hemos terminado con la adición de la configuración de integración para Dataminr RTAP. Una vez que Dataminr RTAP envía datos de alerta, se desencadena la aplicación de funciones y debería poder ver los datos de alertas de Dataminr Pulse en la tabla del área de trabajo LogAnalytics denominada "DataminrPulse_Alerts_CL".

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.