Łącznik interfejsu API REST usługi Darktrace Połączenie or dla usługi Microsoft Sentinel

  • Artykuł

Łącznik interfejsu API REST Darktrace wypycha zdarzenia w czasie rzeczywistym z rozwiązania Darktrace do usługi Microsoft Sentinel i jest przeznaczony do użycia z rozwiązaniem Darktrace dla usługi Sentinel. Łącznik zapisuje dzienniki w niestandardowej tabeli dziennika zatytułowanej "darktrace_model_alerts_CL"; Naruszenia modelu, zdarzenia analityka sztucznej inteligencji, alerty systemowe i alerty e-mail mogą być pozyskiwane — dodatkowe filtry można skonfigurować na stronie Konfiguracja systemu Darktrace. Dane są wypychane do usługi Sentinel z wzorców Darktrace.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics darktrace_model_alerts_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Darktrace

Przykłady zapytań

Wyszukaj alerty testowe

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Zwracanie najlepszych wyników naruszenia modelu darktrace

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Zwracanie zdarzeń analityka sztucznej inteligencji

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Zwracanie alertów dotyczących kondycji systemu

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Zwracanie dzienników poczty e-mail dla określonego nadawcy zewnętrznego (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Wymagania wstępne

Aby zintegrować aplikację Darktrace Połączenie or dla interfejsu API REST usługi Microsoft Sentinel, upewnij się, że masz następujące elementy:

  • Wymagania wstępne darktrace: aby użyć tego Połączenie danych, wymagany jest wzorzec darktrace z systemem w wersji 5.2 lub nowszej. Dane są wysyłane do interfejsu API modułu zbierającego dane HTTP usługi Azure Monitor za pośrednictwem portów HTTPs z wzorców darktrace, w związku z czym wymagana jest łączność wychodząca z wzorca Darktrace do interfejsu API REST usługi Microsoft Sentinel.
  • Filtruj dane darktrace: podczas konfiguracji można skonfigurować dodatkowe filtrowanie na stronie Konfiguracja systemu Darktrace w celu ograniczenia ilości lub typów wysłanych danych.
  • Wypróbuj rozwiązanie Darktrace Sentinel: możesz jak najlepiej wykorzystać ten łącznik, instalując rozwiązanie Darktrace dla usługi Microsoft Sentinel. Dzięki temu skoroszyty umożliwiają wizualizowanie reguł danych alertów i analiz w celu automatycznego tworzenia alertów i zdarzeń zdarzeń zdarzeń analityka sztucznej inteligencji i naruszeń modelu Darktrace.

Instrukcje instalacji dostawcy

  1. Szczegółowe instrukcje dotyczące konfiguracji można znaleźć w witrynie Darktrace Customer Portal: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Zanotuj identyfikator obszaru roboczego i klucz podstawowy. Należy wprowadzić te szczegóły na stronie Konfiguracja systemu Darktrace.

Konfiguracja darktrace

  1. Wykonaj następujące kroki na stronie Konfiguracja systemu Darktrace:
  2. Przejdź do strony konfiguracji systemu (menu > główne Administracja > Konfiguracja systemu)
  3. Przejdź do konfiguracji modułów i kliknij kartę konfiguracji "Microsoft Sentinel"
  4. Wybierz pozycję "HTTPS (JSON)" i naciśnij pozycję "Nowy"
  5. Wypełnij wymagane szczegóły i wybierz odpowiednie filtry
  6. Kliknij pozycję "Verify Alert Ustawienia", aby spróbować uwierzytelnić i wysłać alert testowy
  7. Uruchom przykładowe zapytanie "Wyszukaj alerty testowe", aby sprawdzić, czy alert testowy został odebrany

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.