Konektor Digital Shadows Searchlight (menggunakan Azure Functions) untuk Microsoft Sentinel

  • Artikel

Konektor data Digital Shadows menyediakan penyerapan insiden dan pemberitahuan dari Digital Shadows Searchlight ke Microsoft Azure Sentinel menggunakan REST API. Konektor akan memberikan informasi insiden dan pemberitahuan sehingga membantu memeriksa, mendiagnosis, dan menganalisis potensi risiko dan ancaman keamanan.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Pengaturan aplikasi DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistorisHari
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (opsional)(tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi)Atur DigitalShadowsURL nilai ke: https://api.searchlight.app/v1Atur HighVariabilityClassifications nilai ke: exposed-credential,marked-documentAtur ClassificationFilterOperation nilai ke: exclude untuk mengecualikan aplikasi fungsi atau include untuk menyertakan aplikasi fungsi
Kode aplikasi fungsi Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabel Log Analytics DigitalShadows_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Bayangan Digital

Kueri sampel

Semua insiden dan pemberitahuan Digital Shadows yang diurutkan berdasarkan waktu yang terakhir dimunculkan

DigitalShadows_CL 
| order by raised_t desc

Prasyarat

Untuk berintegrasi dengan Digital Shadows Searchlight (menggunakan Azure Functions) pastikan Anda memiliki:

  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kredensial/izin REST API: ID akun Digital Shadows, rahasia, dan kunci diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang API di https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke 'Digital Shadows Searchlight' untuk menarik lognya ke Microsoft Azure Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1 - Langkah konfigurasi untuk API 'Digital Shadows Searchlight'

Penyedia harus menyediakan atau menautkan ke langkah-langkah terperinci untuk mengonfigurasi titik akhir API 'Digital Shadows Searchlight' sehingga Fungsi Azure dapat mengautentikasinya dengan sukses, mendapatkan kunci atau token otorisasinya, dan menarik log appliance ke Microsoft Sentinel.

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor 'Digital Shadows Searchlight', miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut), serta kunci otorisasi API 'Digital Shadows Searchlight' atau Token, tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor 'Digital Shadows Searchlight'.

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke Azure

  2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

  3. Masukkan ID Ruang Kerja, Kunci Ruang Kerja, Nama Pengguna API, Kata Sandi API, 'dan/atau Bidang lain yang diperlukan'.

Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut. 4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas. 5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor 'Digital Shadows Searchlight' secara manual dengan Azure Functions.

  1. Membuat Aplikasi Fungsi

  2. Dari Portal Microsoft Azure, navigasikan ke Aplikasi Fungsi.

  3. Klik + Buat di bagian atas.

  4. Di tab Dasar , pastikan Tumpukan Runtime diatur ke python 3.8.

  5. Di tab Hosting , pastikan Jenis paket diatur ke 'Konsumsi (Tanpa Server)'. 5.select Akun penyimpanan

  6. 'Tambahkan konfigurasi lain yang diperlukan'.

  7. 'Buat perubahan konfigurasi lain yang lebih disukai', jika diperlukan, lalu klik Buat.

  8. Impor Kode Aplikasi Fungsi (Penyebaran Zip)

  9. Menginstal Azure CLI

  10. Dari jenis az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> terminal dan tekan enter. Atur nilai ke ResourceGroup : nama grup sumber daya Anda. Atur nilai ke FunctionApp : nama aplikasi fungsi yang baru dibuat. Atur nilai ke Zip File : digitalshadowsConnector.zip(jalur ke file zip Anda). Catatan:- Unduh file zip dari tautan - Kode Aplikasi Fungsi

  11. Mengonfigurasi Aplikasi Fungsi

  12. Di layar Aplikasi Fungsi, klik nama Aplikasi Fungsi dan pilih Konfigurasi.

  13. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.

  14. Tambahkan masing-masing pengaturan aplikasi 'x (jumlah)' berikut satu per satu, di bawah Nama, dengan nilai string masing-masing (peka huruf besar/kecil) di bawah Nilai: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opsional) (tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi) Atur nilai ke: Atur nilai ke: Atur logAnalyticsUri (opsional) (tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi) Atur nilai ke: Atur nilai ke: Atur logAnalyticsUri (opsional) (tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi) Atur nilai ke: Atur nilai ke: Atur logAnalyticsUri (opsional) (tambahkan pengaturan lain yang diperlukan oleh Aplikasi Fungsi) Atur DigitalShadowsURL nilai ke: https://api.searchlight.app/v1 Atur HighVariabilityClassifications nilai ke: exposed-credential,marked-document Atur logAnalyticsUri (opsional) ClassificationFilterOperation nilai ke: exclude untuk mengecualikan aplikasi fungsi atau include untuk menyertakan aplikasi fungsi

Catatan: Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Azure Key Vault untuk detail lebih lanjut.

  • Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.
  1. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.