Conector Digital Shadows Searchlight (mediante Azure Functions) para Microsoft Sentinel

  • Artículo

El conector de datos de Digital Shadows proporciona ingesta de incidentes y alertas de Digital Shadows Searchlight en Microsoft Sentinel mediante la API REST. La información de incidentes y alertas proporcionada por el conector le ayudará a examinar, diagnosticar y analizar los posibles riesgos y amenazas de seguridad.

Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.

Atributos del conector

Atributo del conector Descripción
Configuración de la aplicación DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (opcional)(agregar cualquier otra configuración requerida por la aplicación de funciones)Establezca el valor DigitalShadowsURL como: https://api.searchlight.app/v1Establezca el valor HighVariabilityClassifications como: exposed-credential,marked-documentEstablezca el valor ClassificationFilterOperation como: exclude para excluir la aplicación de funciones o include para incluir la aplicación de funciones
Código de la aplicación de funciones de Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabla de Log Analytics DigitalShadows_CL
Soporte de reglas de recopilación de datos No se admite actualmente.
Compatible con Digital Shadows

Ejemplos de consultas

Todos los incidentes y alertas de Digital Shadows ordenados por la última vez que se produjeron

DigitalShadows_CL 
| order by raised_t desc

Requisitos previos

Para realizar la integración con Digital Shadows Searchlight (mediante Azure Functions), asegúrese de tener lo siguiente:

  • Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
  • Credenciales y permisos de la API REST: se requiere el identificador, el secreto y la clave de la cuenta de Digital Shadows. Consulte la documentación para saber más sobre la API en https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Instrucciones de instalación del proveedor

Nota

Este conector usa Azure Functions para conectarse a una instancia de "Digital Shadows Searchlight" para extraer sus registros en Microsoft Sentinel. Esto podría generar costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.

(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

PASO 1: Pasos de configuración de la API "Digital Shadows Searchlight"

El proveedor debe proporcionar los pasos detallados para configurar el punto de conexión de API "Digital Shadows Searchlight", o un vínculo a estos, para que Azure Functions pueda autenticarse correctamente, obtener su clave o token de autorización y extraer los registros del dispositivo en Microsoft Sentinel.

PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada

IMPORTANTE: Antes de implementar el conector "Digital Shadows Searchlight", tenga a mano el identificador y la clave principal del área de trabajo (se pueden copiar de los pasos siguientes), así como las claves o el token de autorización de la API "Digital Shadows Searchlight".

Opción 1: Plantilla de Azure Resource Manager (ARM)

Use este método para la implementación automatizada del conector "Digital Shadows Searchlight".

  1. Haga clic en el botón Implementar en Azure que aparece a continuación.

    Implementación en Azure

  2. Seleccione la suscripción, el grupo de recursos y la ubicación que prefiera.

  3. Escriba el Id. del área de trabajo, la Clave del área de trabajo, el Nombre de usuario de la API, la Contraseña de la API y los demás campos obligatorios.

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada. 4. Active la casilla de verificación Acepto los términos y condiciones establecidos anteriormente. 5. Haga clic en Comprar para implementar.

Opción 2: Implementación manual de Azure Functions

Use las siguientes instrucciones paso a paso para implementar manualmente el conector "Digital Shadows Searchlight" con Azure Functions.

  1. Creación de una aplicación de funciones

  2. En Azure Portal, vaya a Aplicación de funciones.

  3. Haga clic en Crear en la parte superior.

  4. En la pestaña Aspectos básicos, asegúrese de que la pila en entorno en tiempo de ejecución esté establecida en python 3.8.

  5. En la pestaña Hospedaje, asegúrese de que el Tipo de plan esté establecido en "Consumo (sin servidor)". 5. Seleccione Cuenta de almacenamiento

  6. Agregue otras configuraciones necesarias.

  7. Realice otros cambios de configuración preferibles; si es necesario, haga clic en Crear.

  8. Importar código de aplicación de funciones (implementación de archivos ZIP)

  9. Instalación de la CLI de Azure

  10. Desde el tipo de terminal az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> y presione Entrar. Establezca el valor ResourceGroup como: el nombre del grupo de recursos. Establezca el valor FunctionApp como: el nombre de la aplicación de funciones recién creada. Establezca el valor Zip File como: digitalshadowsConnector.zip(ruta de acceso al archivo ZIP). Nota: Descargue el archivo ZIP desde el vínculo: código de aplicación de funciones

  11. Configuración de la aplicación de funciones

  12. En la pantalla "Aplicación de funciones", haga clic en el nombre de la aplicación de funciones y seleccione Configuración.

  13. En la pestaña Configuración de la aplicación, seleccione + Nueva configuración de la aplicación.

  14. Agregue cada una de las siguientes opciones de configuración de aplicación "x (número de)" de forma individual, en Nombre, con sus respectivos valores de cadena (distingue mayúsculas de minúsculas) en Valor: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opcional) (agregue cualquier otra configuración requerida por la aplicación de funciones) Establezca el valor DigitalShadowsURL en: https://api.searchlight.app/v1 Establezca el valor HighVariabilityClassifications en: exposed-credential,marked-document Establezca el valor ClassificationFilterOperation en: exclude para excluir la aplicación de funciones o include para incluir la aplicación de funciones

Nota: Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Para más información, consulte la documentación de referencias de Azure Key Vault.

  • Use logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics para la nube dedicada. Por ejemplo, para la nube pública, deje el valor vacío; para el entorno de nube Azure GovUS, especifique el valor con el siguiente formato: https://<CustomerId>.ods.opinsights.azure.us.
  1. Una vez especificada toda la configuración de la aplicación, haga clic en Guardar.

Pasos siguientes

Para obtener más información, vaya a la solución relacionada en Azure Marketplace.