Darktrace Csatlakozás or REST API-összekötő a Microsoft Sentinelhez

  • Cikk

A Darktrace REST API-összekötő valós idejű eseményeket küld a Darktrace-ből a Microsoft Sentinelbe, és a SentinelHez készült Darktrace-megoldással használható. Az összekötő naplókat ír egy "darktrace_model_alerts_CL" nevű egyéni naplótáblába; A modell megsértései, az AI-elemzői incidensek, a rendszerriasztások és az e-mail-riasztások betölthetők – további szűrők állíthatók be a Darktrace rendszerkonfiguráció oldalán. A rendszer a Darktrace-főkiszolgálókról küldi el az adatokat a Sentinelbe.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) darktrace_model_alerts_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Sötétsáv

Példák lekérdezésekre

Tesztriasztások keresése

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Top scoring darktrace model breaches (Felső pontozású Darktrace-modell megsértései) visszaadása

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

AI-elemzői incidensek visszaadása

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Rendszerállapot-riasztások visszaküldése

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Adott külső feladó e-mail-naplóinak visszaadása (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Előfeltételek

A Microsoft Sentinel REST API-hoz készült Darktrace Csatlakozás or integrálásához győződjön meg arról, hogy rendelkezik a következőkkel:

  • Darktrace előfeltételei: Az adatok használatához Csatlakozás vagy egy 5.2+ verziót futtató Darktrace-főkiszolgálóra van szükség. Az adatok az Azure Monitor HTTP Data Collector API-ba kerülnek a Darktrace-főkiszolgálók HTTP-n keresztül, ezért kimenő kapcsolat szükséges a Darktrace-főkiszolgáló és a Microsoft Sentinel REST API között.
  • Darktrace-adatok szűrése: A konfiguráció során további szűrést is beállíthat a Darktrace Rendszerkonfiguráció lapján az elküldött adatok mennyiségének vagy típusának korlátozásához.
  • Próbálja ki a Darktrace Sentinel-megoldást: Ebből az összekötőből a legtöbbet hozhatja ki a Microsoft SentinelHez készült Darktrace-megoldás telepítésével. Ezzel a munkafüzetekkel riasztási adatokat és elemzési szabályokat jeleníthet meg, hogy automatikusan riasztásokat és incidenseket hozzon létre a Darktrace-modell megsértéseiből és AI-elemzői incidensekből.

Szállító telepítési útmutatója

  1. Részletes telepítési utasítások a Darktrace ügyfélportálon találhatók: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Jegyezze fel a munkaterület azonosítóját és az elsődleges kulcsot. Ezeket a részleteket meg kell adnia a Darktrace rendszerkonfigurációs oldalán.

Darktrace-konfiguráció

  1. Hajtsa végre a következő lépéseket a Darktrace Rendszerkonfiguráció lapján:
  2. Lépjen a Rendszerkonfiguráció lapra (főmenü > Rendszergazda > Rendszerkonfiguráció)
  3. Nyissa meg a Modulok konfigurációját, és kattintson a "Microsoft Sentinel" konfigurációs kártyára
  4. Válassza a "HTTPS (JSON)" lehetőséget, és nyomja le az "Új" elemet
  5. Töltse ki a szükséges adatokat, és válassza ki a megfelelő szűrőket
  6. Kattintson a "Riasztási Gépház ellenőrzése" elemre a hitelesítés megkísérléséhez és egy tesztriasztás elküldéséhez
  7. Futtasson egy "Tesztriasztások keresése" minta lekérdezést annak ellenőrzéséhez, hogy a tesztriasztás megérkezett-e

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.