Microsoft Sentinel 用 Darktrace Connector REST API コネクタ

  • [アーティクル]

Darktrace REST API コネクタは、Darktrace から Microsoft Sentinel にリアルタイム イベントをプッシュし、Darktrace Solution for Sentinel で使用するように設計されています。 コネクタにより、"darktrace_model_alerts_CL" というタイトルのカスタム ログ テーブルにログが書き込まれます。モデル違反、AI アナリスト インシデント、システム アラート、電子メール アラートを取り込むことができます。追加のフィルターは、Darktrace システム構成ページで設定できます。 データは、Darktrace マスターから Sentinel にプッシュされます。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル darktrace_model_alerts_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Darktrace

クエリのサンプル

テスト アラートを探す

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

上位スコアリングの Darktrace モデル違反を返す

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

AI アナリスト インシデントを返す

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

システム正常性アラートを返す

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

特定の外部送信者の電子メール ログを返す (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

前提条件

Microsoft Sentinel 用 Darktrace Connector REST API と統合する場合は、次のことを確認してください。

  • Darktrace の前提条件: このデータ コネクタを使用するには、v5.2 以降を実行している Darktrace マスターが必要です。 データは、Darktrace マスターから HTTP 経由で Azure Monitor HTTP Data Collector API に送信されるため、Darktrace マスターから Microsoft Sentinel REST API への送信接続が必要です。
  • Darktrace データをフィルター処理する: 構成中に、Darktrace システム構成ページで追加のフィルター処理を設定して、送信されるデータの量または種類を制限することができます。
  • Darktrace Sentinel ソリューションを試す: このコネクタを最大限に活用するには、Microsoft Sentinel 用 Darktrace ソリューションをインストールします。 これにより、アラート データと分析ルールを視覚化するためのブックが提供され、Darktrace モデル違反と AI アナリスト インシデントからアラートとインシデントが自動的に作成されます。

ベンダーのインストール手順

  1. 詳細なセットアップ手順については、Darktrace カスタマー ポータル (https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction) を参照してください
  2. ワークスペース ID と主キーをメモします。 これらの詳細は、Darktrace システム構成ページで入力する必要があります。

Darktrace の構成

  1. Darktrace システム構成ページで次の手順を行います。
  2. [システム構成] ページに移動します (メイン メニュー > [管理] > [システム構成])
  3. [モジュールの構成] に移動し、[Microsoft Sentinel] 構成カードをクリックします
  4. [HTTPS (JSON)] を選択し、[新規] をクリックします
  5. 必要な詳細を入力し、適切なフィルターを選択します
  6. [アラート設定の確認] をクリックして認証を試み、テスト アラートを送信します
  7. [テスト アラートの検索] サンプル クエリを実行して、テスト アラートが受信されたことを検証します

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。