Conector Derdack SIGNL4 para Microsoft Sentinel

  • Artículo

Cuando se producen errores en los sistemas críticos o se producen incidentes de seguridad, SIGNL4 conecta la "última milla" al personal, a los ingenieros, a los administradores de TI y a los trabajadores del campo. Agrega alertas móviles en tiempo real a los servicios, sistemas y procesos muy rápidamente. SIGNL4 envía una notificación a través de notificaciones de inserción para móviles, texto en SMS y llamadas de voz con confirmación, seguimiento y escalación. La programación integrada de deberes y turnos garantiza que se alerte a las personas adecuadas en el momento adecuado.

Más información >

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Tabla de Log Analytics SIGNL4_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con Derdack

Ejemplos de consultas

Obtenga información de estado y alertas de SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Instrucciones de instalación del proveedor

Nota

Este conector de datos se configura principalmente en el lado de SIGNL4. Puede encontrar un vídeo de descripción aquí: Integración de SIGNL4 con Microsoft Sentinel.

Conector SIGNL4: El conector SIGNL4 para Microsoft Sentinel, Azure Security Center y otros proveedores de Azure Graph API para seguridad proporciona una integración perfecta de dos formas con las soluciones de Azure Security. Una vez agregado al equipo de SIGNL4, el conector leerá las alertas de seguridad de Azure Graph API para seguridad y desencadenará automáticamente notificaciones de alerta a los miembros del equipo en servicio. También sincronizará el estado de la alerta de SIGNL4 con Graph API para seguridad, de modo que, si las alertas se confirman o cierran, este estado también se actualiza según la alerta de Azure Graph API para seguridad o el proveedor de seguridad correspondiente. Como se ha mencionado, el conector usa principalmente Azure Graph API para seguridad, pero para algunos proveedores de seguridad, como Microsoft Sentinel, también usa API de REST dedicadas de las soluciones de Azure correspondientes.

Características de Microsoft Sentinel

Microsoft Sentinel es una solución SIEM nativa en la nube de Microsoft y un proveedor de alertas de seguridad en Azure Graph API para seguridad. Sin embargo, los detalles de las alertas disponibles con Graph API para seguridad están limitados para Microsoft Sentinel. Por lo tanto, el conector puede aumentar las alertas con más detalles (resultados de búsqueda de reglas de información) del área de trabajo subyacente de Log Analytics de Microsoft Sentinel. Para ello, el conector se comunica con la API de REST de Azure Log Analytics y necesita los permisos correspondientes (consulte a continuación). Además, la aplicación también puede actualizar el estado de los incidentes de Microsoft Sentinel, cuando todas las alertas de seguridad relacionadas están en curso o resueltas. Para ello, el conector debe ser miembro del grupo "Colaboradores de Microsoft Sentinel" en la suscripción de Azure. Implementación automatizada en Azure Las credenciales necesarias para acceder a las API que se han mencionado se generan mediante un script de PowerShell pequeño que puede descargar a continuación. El script realiza las siguientes tareas:

  • Inicia sesión en la suscripción de Azure (inicie sesión con una cuenta de administrador).
  • Crea una nueva aplicación empresarial para este conector en Microsoft Entra ID, también denominada entidad de servicio
  • Crea un nuevo rol en la instancia de Azure IAM que concede permiso de lectura y consulta solo a las áreas de trabajo de Azure Log Analytics.
  • Une la aplicación empresarial a ese rol de usuario.
  • Une la aplicación empresarial al rol "Colaboradores de Microsoft Sentinel".
  • Genera algunos datos que necesita para configurar la aplicación (consulte a continuación)

Procedimiento de implementación

  1. Descargue el script de implementación de PowerShell desde aquí.
  2. Revise el script y los roles y los ámbitos de permisos que implementa para el nuevo registro de la aplicación. Si no desea usar el conector con Microsoft Sentinel, puede quitar todo el código de creación y asignación de roles y usarlo solo para crear el registro de la aplicación (SPN) en Microsoft Entra ID.
  3. Ejecute el script. Al final, genera información que debe introducir en la configuración de la aplicación del conector.
  4. En Microsoft Entra ID, haga clic en "Registros de aplicaciones". Busque la aplicación con el nombre "SIGNL4AzureSecurity" y abra sus detalles.
  5. En la hoja de menú de la izquierda, haga clic en "Permisos de API". A continuación, haga clic en "Agregar un permiso".
  6. En la hoja que se carga, en "API de Microsoft", haga clic en el elemento "Microsoft Graph" y, a continuación, haga clic en "Permiso de aplicación".
  7. En la tabla que se muestra, expanda "SecurityEvents" y marque "SecurityEvents.Read.All" y "SecurityEvents.ReadWrite.All".
  8. Haga clic en "Agregar permisos".

Configuración de la aplicación del conector SIGNL4

Por último, escriba los identificadores que el script ha generado en la configuración del conector:

  • Id. de inquilino de Azure
  • Identificador de suscripción de Azure
  • Id. de cliente (de la aplicación empresarial)
  • Secreto de cliente (de la aplicación empresarial) Una vez habilitada la aplicación, comenzará a leer las alertas de Azure Graph API para seguridad.

NOTA: Inicialmente, solo leerá las alertas que se han producido en las últimas 24 horas.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.