Connecteur Digital Shadows Searchlight (utilisant Azure Functions) pour Microsoft Sentinel

  • Article

Le connecteur de données Digital Shadows permet d’ingérer les incidents et alertes de Digital Shadows Searchlight dans Microsoft Sentinel à l’aide de l’API REST. Le connecteur fournit des informations sur les incidents et les alertes qui permettent d’examiner, de diagnostiquer et d’analyser les risques et menaces de sécurité potentiels.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Paramètres d’application DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (facultatif)(ajouter d’autres paramètres requis par l’application de fonction)Définir la valeur DigitalShadowsURL sur : https://api.searchlight.app/v1Définir la valeur HighVariabilityClassifications sur : exposed-credential,marked-documentDéfinir la valeur ClassificationFilterOperation sur : exclude pour exclure l’application de fonction ou include pour inclure l’application de fonction
Code d’application de fonction Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Table(s) Log Analytics DigitalShadows_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Digital Shadows

Exemples de requête

Tous les incidents et alertes Digital Shadows classés par heure déclenchés récemment

DigitalShadows_CL 
| order by raised_t desc

Prérequis

Pour intégrer Digital Shadows Searchlight (utilisant Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Autorisations Microsoft.Web/sites : des autorisations d’accès en lecture et en écriture à Azure Functions sont requises pour créer une application de fonction. Consultez la documentation pour en savoir plus sur Azure Functions.
  • Informations d’identification/autorisations de l’API REST : L’ID de compte, le secret et la clé Digital Shadows sont requis. Consultez la documentation pour en savoir plus sur l’API sur https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Instructions d’installation du fournisseur

Notes

Ce connecteur utilise Azure Functions pour se connecter à Digital Shadows Searchlight et extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Étapes de configuration de l’API « Digital Shadows Searchlight »

Le fournisseur doit spécifier les étapes détaillées (ou donner un lien) pour configurer le point de terminaison de l’API « Digital Shadows Searchlight » afin que la fonction Azure puisse s’y authentifier correctement, obtenir sa clé ou son jeton d’autorisation et extraire les journaux de l’appliance dans Microsoft Sentinel.

ÉTAPE 2 - Choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : Avant de déployer le connecteur Digital Shadows Searchlight, ayez à disposition l’ID et la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que la ou les clés ou le jeton d’autorisation de l’API « Digital Shadows Searchlight ».

Option 1 – Modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur « Digital Shadows Searchlight ».

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez l’ID d’espace de travail, la clé d’espace de travail, le nom d’utilisateur d’API et le mot de passe d’API, et/ou renseignez d’autres champs obligatoires.

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault. 4. Cochez la case J’accepte les conditions générales mentionnées ci-dessus. 5. Cliquez sur Acheter pour effectuer le déploiement.

Option 2 - Déploiement manuel de fonctions Azure

Suivez les instructions pas à pas ci-dessous pour déployer manuellement le connecteur Digital Shadows Searchlight avec Azure Functions.

  1. Créer une application de fonction

  2. Dans le portail Azure, accédez à Application de fonction.

  3. Cliquez sur + Créer en haut.

  4. Sous l’onglet Informations de base, vérifiez que la pile d’exécution est définie sur python 3.8.

  5. Sous l’onglet Hébergement, vérifiez que le Type de plan est défini sur « Consommation (serverless) ». 5. Sélectionner un compte de stockage

  6. Ajoutez d’autres configurations supplémentaires requises.

  7. Apportez d’autres modifications de configuration si nécessaire, puis cliquez sur Créer.

  8. Importer un code de l’application de fonction (déploiement zip)

  9. Installation de l’interface de ligne de commande Azure

  10. À partir du terminal, tapez az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> et appuyez sur Entrée. Définissez la valeur de ResourceGroup sur : le nom de votre groupe de ressources. Définissez la valeur de FunctionApp sur : le nom de votre application de fonction nouvellement créée. Définissez la valeur de Zip File sur : digitalshadowsConnector.zip(chemin d’accès à votre fichier zip). Remarque :- Télécharger le fichier zip à partir du lien – Code de l’application de fonction

  11. Configurer l’application de fonction

  12. Dans l’écran de l’application de fonction, cliquez sur le nom de l’application de fonction et sélectionnez Configuration.

  13. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.

  14. Ajouter chacun des paramètres d’application « x (nombre) » suivants individuellement, sous Nom, avec leurs valeurs de chaîne respectives (respectant la casse) sous Valeur : DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (facultatif) (ajouter tous les autres paramètres requis par l’application de fonction) Définir la valeur DigitalShadowsURL sur : https://api.searchlight.app/v1 Définir la valeur HighVariabilityClassifications sur : exposed-credential,marked-document Définir la valeur de ClassificationFilterOperation sur : exclude pour exclure l’application de fonction ou include pour inclure l’application de fonction

Remarque : Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références d’Azure Key Vault.

  • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
  1. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.