Conector de la API de REST de Darktrace Connector para Microsoft Sentinel

  • Artículo

El conector de la API de REST de Darktrace inserta eventos en tiempo real desde Darktrace a Microsoft Sentinel y está diseñado para usarse con la solución Darktrace para Sentinel. El conector escribe registros en una tabla de registro personalizada titulada "darktrace_model_alerts_CL"; se pueden ingerir infracciones de modelos, incidentes del analista de IA, alertas del sistema y alertas de correo electrónico: se pueden configurar filtros adicionales en la página Configuración del sistema Darktrace. Los datos se insertan en Sentinel desde los maestros de Darktrace.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics darktrace_model_alerts_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con Darktrace

Ejemplos de consultas

Búsqueda de alertas de prueba

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Devolución de las infracciones del modelo Darktrace de puntuación superior

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Devolución de incidentes del analista de IA

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Devolución de alertas de estado del sistema

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Devolución de registros de correo electrónico para un remitente externo específico (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Requisitos previos

Para realizar la integración con la API de REST de Darktrace Connector para Microsoft Sentinel, asegúrese de que tiene lo siguiente:

  • Requisitos previos de Darktrace: para usar este conector de datos, se requiere un maestro de Darktrace que ejecute la versión v5.2 y versiones posteriores. Los datos se envían a la API del recopilador de datos HTTP de Azure Monitor a través de HTTP de maestros de Darktrace, por lo que se requiere conectividad saliente desde el maestro de Darktrace a la API de REST de Microsoft Sentinel.
  • Filtrar datos de Darktrace: durante la configuración, es posible configurar filtrado adicional en la página Configuración del sistema Darktrace para restringir la cantidad o los tipos de datos enviados.
  • Pruebe la solución de Sentinel de Darktrace: puede sacar el máximo partido de este conector mediante la instalación de la solución Darktrace para Microsoft Sentinel. Esto proporcionará libros para visualizar las reglas de análisis y datos de alertas para crear automáticamente alertas e incidentes a partir de infracciones del modelo Darktrace e incidentes del analista de IA.

Instrucciones de instalación del proveedor

  1. Puede encontrar instrucciones de configuración detalladas en el Portal de clientes de Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Anote el identificador del área de trabajo y la clave principal. Tendrá que escribir estos detalles en la página Configuración del sistema Darktrace.

Configuración de Darktrace

  1. Realice los pasos siguientes en la página Configuración del sistema Darktrace:
  2. Vaya a la página Configuración del sistema (menú principal > Administración > Configuración del sistema).
  3. Vaya a Configuración de módulos y haga clic en la tarjeta de configuración "Microsoft Sentinel".
  4. Seleccione "HTTPS (JSON)" y presione "Nuevo".
  5. Rellene los detalles necesarios y seleccione los filtros adecuados.
  6. Haga clic en "Comprobar configuración de alertas" para intentar la autenticación y enviar una alerta de prueba.
  7. Ejecute una consulta de ejemplo "Buscar alertas de prueba" para validar que se ha recibido la alerta de prueba.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.