Derdack SIGNL4-összekötő a Microsoft Sentinelhez

  • Cikk

Kritikus rendszerek meghibásodása vagy biztonsági incidensek esetén a SIGNL4 az utolsó mérföldet hidat képez az alkalmazottak, mérnökök, informatikai rendszergazdák és a területen dolgozók számára. Valós idejű mobilriasztást ad hozzá a szolgáltatásokhoz, rendszerekhez és folyamatokhoz. A SIGNL4 állandó mobil leküldéssel, SMS-szöveggel és hanghívásokkal, nyugtázással, nyomon követéssel és eszkalációval értesíti. Az integrált ügyeleti és műszakütemezés biztosítja, hogy a megfelelő személyek a megfelelő időben legyenek riasztásban.

További információ >

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) SIGNL4_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Derdack

Példák lekérdezésekre

A SIGNL4 riasztási és állapotinformációinak lekérése.

SecurityIncident

| where Labels contains "SIGNL4"

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő főként a SIGNL4 oldalon van konfigurálva. Itt talál egy leírásvideót: A SIGNL4 integrálása a Microsoft Sentinelrel.

SIGNL4 Csatlakozás or: A Microsoft Sentinel, az Azure Security Center és más Azure Graph Biztonsági API szolgáltatók SIGNL4-összekötője zökkenőmentes, kétirányú integrációt biztosít az Azure Security-megoldásokkal. Miután hozzáadta a SIGNL4-csapathoz, az összekötő felolvassa az Azure Graph Biztonsági API biztonsági riasztásait, és automatikusan riasztási értesítéseket küld a csapat szolgálatban lévő tagjainak. Emellett szinkronizálja a riasztás állapotát a SIGNL4-ről a Graph Biztonsági API, így ha a riasztások nyugtázva vagy lezárva vannak, ez az állapot az Azure Graph Biztonsági API riasztáson vagy a megfelelő biztonsági szolgáltatón is frissül. Mint említettük, az összekötő elsősorban az Azure Graph Biztonsági API használ, de egyes biztonsági szolgáltatók, például a Microsoft Sentinel esetében dedikált REST API-kat is használ az Azure-megoldások alapján.

A Microsoft Sentinel szolgáltatásai

A Microsoft Sentinel egy natív felhőalapú SIEM-megoldás a Microsofttól, és az Azure Graph Biztonsági API biztonsági riasztásszolgáltatója. A Graph Biztonsági API elérhető riasztási adatok szintje azonban a Microsoft Sentinel esetében korlátozott. Az összekötő így további részletekkel (elemzési szabályok keresési eredményeivel) bővítheti a riasztásokat az alapul szolgáló Microsoft Sentinel Log Analytics-munkaterületről. Ennek érdekében az összekötő kommunikál az Azure Log Analytics REST API-val, és engedélyekkel rendelkezik (lásd alább). Emellett az alkalmazás frissítheti a Microsoft Sentinel-incidensek állapotát is, ha az összes kapcsolódó biztonsági riasztás folyamatban van, vagy megoldódott. Ehhez az összekötőnek a "Microsoft Sentinel Közreműködők" csoport tagjának kell lennie az Azure-előfizetésében. Automatizált üzembe helyezés az Azure-ban A fent említett API-k eléréséhez szükséges hitelesítő adatokat egy kis PowerShell-szkript hozza létre, amelyet alább tölthet le. A szkript a következő feladatokat hajtja végre Önnek:

  • Bejelentkezik az Azure-előfizetésbe (jelentkezzen be rendszergazdai fiókkal)
  • Új nagyvállalati alkalmazást hoz létre ehhez az összekötőhöz a Microsoft Entra-azonosítóban, más néven szolgáltatásnévben
  • Létrehoz egy új szerepkört az Azure IAM-ben, amely olvasási/lekérdezési engedélyt ad csak az Azure Log Analytics-munkaterületeknek.
  • Csatlakozik a vállalati alkalmazáshoz az adott felhasználói szerepkörhöz
  • Csatlakozik a vállalati alkalmazáshoz a "Microsoft Sentinel Közreműködők" szerepkörhöz
  • Az alkalmazás konfigurálásához szükséges adatokat ad ki (lásd alább)

Üzembe helyezési eljárás

  1. Töltse le innen a PowerShell üzembehelyezési szkriptet.
  2. Tekintse át az új alkalmazásregisztrációhoz telepített szkriptet és szerepköröket és engedélytartományokat. Ha nem szeretné használni az összekötőt a Microsoft Sentinellel, eltávolíthatja az összes szerepkör-létrehozási és szerepkör-hozzárendelési kódot, és csak arra használhatja, hogy létrehozza az alkalmazásregisztrációt (SPN) a Microsoft Entra-azonosítójában.
  3. Futtassa a szkriptet. A végén olyan információkat ad ki, amelyeket meg kell adnia az összekötő alkalmazás konfigurációjában.
  4. A Microsoft Entra-azonosítóban kattintson az "Alkalmazásregisztrációk" elemre. Keresse meg a SIGNL4AzureSecurity nevű alkalmazást, és nyissa meg annak részleteit
  5. A bal oldali menüpanelen kattintson az "API-engedélyek" elemre. Ezután kattintson az "Engedély hozzáadása" elemre.
  6. A betöltődött panelen a "Microsoft API-k" alatt kattintson a "Microsoft Graph" csempére, majd az "Alkalmazásengedély" elemre.
  7. A megjelenő táblázatban bontsa ki a "SecurityEvents" elemet, és ellenőrizze a "SecurityEvents.Read.All" és a "SecurityEvents.ReadWrite.All" elemet.
  8. Kattintson az "Engedélyek hozzáadása" elemre.

A SIGNL4-összekötő alkalmazás konfigurálása

Végül adja meg azokat az azonosítókat, amelyeket a szkript az összekötő konfigurációjában kimenetelt:

  • Azure-bérlő azonosítója
  • Azure-előfizetés azonosítója
  • Ügyfélazonosító (a vállalati alkalmazáshoz)
  • Ügyfélkód (a vállalati alkalmazáshoz) Az alkalmazás engedélyezése után megkezdi az Azure Graph-Biztonsági API-riasztások olvasását.

MEGJEGYZÉS: Kezdetben csak az elmúlt 24 órában történt riasztásokat olvassa be.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.