Conector de la API de REST de Darktrace Connector para Microsoft Sentinel
El conector de la API de REST de Darktrace inserta eventos en tiempo real desde Darktrace a Microsoft Sentinel y está diseñado para usarse con la solución Darktrace para Sentinel. El conector escribe registros en una tabla de registro personalizada titulada "darktrace_model_alerts_CL"; se pueden ingerir infracciones de modelos, incidentes del analista de IA, alertas del sistema y alertas de correo electrónico: se pueden configurar filtros adicionales en la página Configuración del sistema Darktrace. Los datos se insertan en Sentinel desde los maestros de Darktrace.
Atributos del conector
Atributo del conector | Descripción |
---|---|
Tabla de Log Analytics | darktrace_model_alerts_CL |
Soporte de reglas de recopilación de datos | No se admite actualmente. |
Compatible con | Darktrace |
Ejemplos de consultas
Búsqueda de alertas de prueba
darktrace_model_alerts_CL
| where modelName_s == "Unrestricted Test Model"
Devolución de las infracciones del modelo Darktrace de puntuación superior
darktrace_model_alerts_CL
| where dtProduct_s =="Policy Breach"
| project-rename SrcIpAddr=SourceIP
| project-rename SrcHostname=hostname_s
| project-rename DarktraceLink=breachUrl_s
| project-rename ThreatRiskLevel=score_d
| project-rename NetworkRuleName=modelName_s
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
| top 10 by ThreatRiskLevel desc
Devolución de incidentes del analista de IA
darktrace_model_alerts_CL
| where dtProduct_s == "AI Analyst"
| project-rename EventStartTime=startTime_s
| project-rename EventEndTime = endTime_s
| project-rename NetworkRuleName=title_s
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
| project-rename ThreatCategory=dtProduct_s
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
| project-rename SrcHostname=hostname_s
| project-rename DarktraceLink=url_s
| project-rename Summary=summary_s
| project-rename GroupScore=groupScore_d
| project-rename GroupCategory=groupCategory_s
| project-rename SrcDeviceName=bestDeviceName_s
Devolución de alertas de estado del sistema
darktrace_model_alerts_CL
| where dtProduct_s == "System Alert"
Devolución de registros de correo electrónico para un remitente externo específico (example@test.com)
darktrace_model_alerts_CL
| where dtProduct_s == 'Antigena Email'
| where from_s == 'example@test.com'
Requisitos previos
Para realizar la integración con la API de REST de Darktrace Connector para Microsoft Sentinel, asegúrese de que tiene lo siguiente:
- Requisitos previos de Darktrace: para usar este conector de datos, se requiere un maestro de Darktrace que ejecute la versión v5.2 y versiones posteriores. Los datos se envían a la API del recopilador de datos HTTP de Azure Monitor a través de HTTP de maestros de Darktrace, por lo que se requiere conectividad saliente desde el maestro de Darktrace a la API de REST de Microsoft Sentinel.
- Filtrar datos de Darktrace: durante la configuración, es posible configurar filtrado adicional en la página Configuración del sistema Darktrace para restringir la cantidad o los tipos de datos enviados.
- Pruebe la solución de Sentinel de Darktrace: puede sacar el máximo partido de este conector mediante la instalación de la solución Darktrace para Microsoft Sentinel. Esto proporcionará libros para visualizar las reglas de análisis y datos de alertas para crear automáticamente alertas e incidentes a partir de infracciones del modelo Darktrace e incidentes del analista de IA.
Instrucciones de instalación del proveedor
- Puede encontrar instrucciones de configuración detalladas en el Portal de clientes de Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
- Anote el identificador del área de trabajo y la clave principal. Tendrá que escribir estos detalles en la página Configuración del sistema Darktrace.
Configuración de Darktrace
- Realice los pasos siguientes en la página Configuración del sistema Darktrace:
- Vaya a la página Configuración del sistema (menú principal > Administración > Configuración del sistema).
- Vaya a Configuración de módulos y haga clic en la tarjeta de configuración "Microsoft Sentinel".
- Seleccione "HTTPS (JSON)" y presione "Nuevo".
- Rellene los detalles necesarios y seleccione los filtros adecuados.
- Haga clic en "Comprobar configuración de alertas" para intentar la autenticación y enviar una alerta de prueba.
- Ejecute una consulta de ejemplo "Buscar alertas de prueba" para validar que se ha recibido la alerta de prueba.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.