Łącznik dataminr Pulse Alerts Data Połączenie or (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Usługa Dataminr Pulse Alerts Data Połączenie or udostępnia nasze analizy oparte na sztucznej inteligencji w czasie rzeczywistym w usłudze Microsoft Sentinel w celu szybszego wykrywania zagrożeń i reagowania na nie.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Kod aplikacji funkcji platformy Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Tabele usługi Log Analytics DataminrPulse_Alerts_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Obsługa narzędzia Dataminr

Przykłady zapytań

Dane alertów pulsu usługi Dataminr dla wszystkich typów alertów

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować z usługą Dataminr Pulse Alerts Data Połączenie or (przy użyciu usługi Azure Functions), upewnij się, że:

  • Subskrypcja platformy Azure: Subskrypcja platformy Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w identyfikatorze Entra firmy Microsoft i przypisania roli współautora do aplikacji w grupie zasobów.
  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Wymagane poświadczenia/uprawnienia narzędzia Dataminr:

a. Aby korzystać z tego łącznika danych, użytkownicy muszą mieć prawidłowy identyfikator klienta interfejsu API Pulse usługi Dataminr i wpis tajny.

b. W witrynie internetowej Dataminr Pulse Watchlists należy skonfigurować co najmniej jedną listę obserwowanych w usłudze Dataminr Pulse.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązywania połączenia z modułem DataminrPulse, w którym dzienniki są wypychane za pośrednictwem protokołu RTAP usługi Dataminr, a dzienniki zostaną pozyskane do usługi Microsoft Sentinel. Ponadto łącznik pobierze pozyskane dane z niestandardowej tabeli dzienników i utworzy wskaźniki analizy zagrożeń w usłudze Microsoft Sentinel Threat Intelligence. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Poświadczenia dla identyfikatora klienta pulse usługi Dataminr i klucza tajnego klienta

  • Uzyskaj identyfikator użytkownika/hasło/hasło użytkownika aplikacji Dataminr Pulse oraz identyfikator klienta interfejsu API/wpis tajny z poziomu menedżera sukcesu klienta (CSM) usługi Dataminr.

KROK 2. Konfigurowanie list obserwowanych w portalu Pulse usługi Dataminr.

Wykonaj kroki opisane w tej sekcji, aby skonfigurować listy obserwowanych w portalu:

  1. Zaloguj się do witryny internetowej Dataminr Pulse.

  2. Kliknij ikonę koła zębatego ustawień i wybierz pozycję Zarządzaj listami.

  3. Wybierz typ listy do obejrzenia, którą chcesz utworzyć (Cyber, Temat, Firma itp.), a następnie kliknij przycisk Nowa lista .

  4. Podaj nazwę nowej listy do obejrzenia i wybierz dla niej kolor wyróżnienia lub zachowaj domyślny kolor.

  5. Po zakończeniu konfigurowania listy obserwowanych kliknij przycisk Zapisz , aby go zapisać.

KROK 3. Kroki rejestracji aplikacji dla aplikacji w usłudze Microsoft Entra ID

Ta integracja wymaga rejestracji aplikacji w witrynie Azure Portal. Wykonaj kroki opisane w tej sekcji, aby utworzyć nową aplikację w usłudze Microsoft Entra ID:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj i wybierz Tożsamość Microsoft Entra.
  3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
  4. Wprowadź nazwę wyświetlaną aplikacji.
  5. Wybierz pozycję Zarejestruj, aby ukończyć początkową rejestrację aplikacji.
  6. Po zakończeniu rejestracji w witrynie Azure Portal zostanie wyświetlone okienko Przegląd rejestracji aplikacji. Zobaczysz identyfikator aplikacji (klienta) i identyfikator dzierżawy. Identyfikator klienta i identyfikator dzierżawy są wymagane jako parametry konfiguracji do wykonania Połączenie or danych DataminrPulse.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app

KROK 4. Dodawanie wpisu tajnego klienta dla aplikacji w identyfikatorze Entra firmy Microsoft

Czasami nazywane hasłem aplikacji wpis tajny klienta jest wartością ciągu wymaganą do wykonania Połączenie or danych DataminrPulse. Wykonaj kroki opisane w tej sekcji, aby utworzyć nowy klucz tajny klienta:

  1. W witrynie Azure Portal w Rejestracje aplikacji wybierz aplikację.
  2. Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne >Nowego klienta.
  3. Dodaj opis wpisu tajnego klienta.
  4. Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności. Limit wynosi 24 miesiące.
  5. Wybierz Dodaj.
  6. Zapisz wartość klucza tajnego w kodzie aplikacji klienckiej. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna. Wartość wpisu tajnego jest wymagana jako parametr konfiguracji do wykonania elementu DataminrPulse Data Połączenie or.

Link referencyjny:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

KROK 5. Przypisywanie roli Współautor do aplikacji w identyfikatorze Entra firmy Microsoft

Wykonaj kroki opisane w tej sekcji, aby przypisać rolę:

  1. W witrynie Azure Portal przejdź do pozycji Grupa zasobów i wybierz grupę zasobów.
  2. Przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z panelu po lewej stronie.
  3. Kliknij pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.
  4. Wybierz pozycję Współautor jako rolę i kliknij przycisk Dalej.
  5. W obszarze Przypisz dostęp do wybierz pozycję User, group, or service principal.
  6. Kliknij pozycję Dodaj członków i wpisz utworzoną nazwę aplikacji i wybierz ją.
  7. Teraz kliknij pozycję Przejrzyj i przypisz , a następnie ponownie kliknij pozycję Przejrzyj i przypisz.

Link referencyjny:/azure/role-based-access-control/role-assignments-portal

KROK 6. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych Usługi Dataminr Pulse Microsoft Sentinel należy łatwo udostępnić identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do automatycznego wdrażania łącznika DataminrPulse.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź poniższe informacje: Identyfikator obszaru roboczego nazwy funkcji Alerty klucza obszaru roboczegoNazwa bazyURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Harmonogram LogLevel

  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik danych Programu Dataminr Pulse Microsoft Sentinel za pomocą usługi Azure Functions (wdrażanie za pomocą programu Visual Studio Code).

  1. Wdrażanie aplikacji funkcji

Uwaga

Musisz przygotować program VS Code do programowania funkcji platformy Azure.

  1. Pobierz plik aplikacji funkcji platformy Azure. Wyodrębnij archiwum na komputer deweloperów lokalnych.

  2. Uruchom program VS Code. Wybierz pozycję Plik w menu głównym i wybierz pozycję Otwórz folder.

  3. Wybierz folder najwyższego poziomu z wyodrębnionych plików.

  4. Wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz przycisk Wdróż do aplikacji funkcji. Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działań, a następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure Jeśli już się zalogowałeś, przejdź do następnego kroku.

  5. Podaj następujące informacje po wyświetleniu monitów:

    a. Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.

    b. Wybierz pozycję Subskrypcja: wybierz subskrypcję do użycia.

    c. Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure (nie wybieraj opcji Zaawansowane)

    d. Wprowadź globalnie unikatową nazwę aplikacji funkcji: wpisz nazwę prawidłową w ścieżce adresu URL. Typ nazwy jest weryfikowany, aby upewnić się, że jest on unikatowy w usłudze Azure Functions. (np. DmPulseXXXXX).

    e. Wybierz środowisko uruchomieniowe: wybierz język Python w wersji 3.8 lub nowszej.

    f. Wybierz lokalizację nowych zasobów. Aby uzyskać lepszą wydajność i niższe koszty, wybierz ten sam region , w którym znajduje się usługa Microsoft Sentinel.

  6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.

  7. Przejdź do witryny Azure Portal, aby uzyskać informacje o konfiguracji aplikacji funkcji.

  1. Konfigurowanie aplikacji funkcji
  1. W aplikacji funkcji wybierz nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.
  2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
  3. Dodaj każde z następujących ustawień aplikacji indywidualnie z odpowiednimi wartościami (z uwzględnieniem wielkości liter): Identyfikator obszaru roboczego nazwy funkcji Alerty klucza obszaru roboczegoNazwa tabeli AlertyNazwa klienta BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Harmonogram LogLevel logAnalyticsUri (opcjonalnie)
  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

KROK 7. Kroki po wdrożeniu

  1. Pobieranie punktu końcowego aplikacji funkcji
  1. Przejdź do strony Przegląd funkcji platformy Azure i kliknij pozycję "Funkcje" w bloku po lewej stronie.
  2. Kliknij funkcję o nazwie "DataminrPulseAlertsHttpStarter".
  3. Przejdź do pozycji "GetFunctionurl" i skopiuj adres URL funkcji.
  4. Zastąp ciąg {functionname} ciągiem "DataminrPulseAlertsSentinelOrchestrator" w skopiowanych adresach URL funkcji.
  1. Aby dodać ustawienia integracji w usłudze Dataminr RTAP przy użyciu adresu URL funkcji
  1. Otwórz dowolne narzędzie żądania interfejsu API, takie jak Postman.
  2. Kliknij pozycję "+", aby utworzyć nowe żądanie.
  3. Wybierz metodę żądania HTTP jako "POST".
  4. Wprowadź adres URL wstępnie wprowadzony w punkcie 1), w części adres URL żądania.
  5. W obszarze Treść wybierz nieprzetworzone dane JSON i podaj treść żądania w następujący sposób (z uwzględnieniem wielkości liter): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Po podaniu wszystkich wymaganych szczegółów kliknij pozycję Wyślij.
  7. Identyfikator ustawienia integracji zostanie wyświetlony w odpowiedzi HTTP z kodem stanu 200.
  8. Zapisz identyfikator integracji w celu uzyskania przyszłego odwołania.

Teraz skończyliśmy z dodawaniem ustawień integracji dla protokołu RTAP usługi Dataminr. Po wysłaniu danych alertu przez protokół RTAP usługi Dataminr aplikacja funkcji zostanie wyzwolona i powinna być w stanie wyświetlić dane alertów z tabeli obszaru roboczego Dataminr Pulse do obszaru roboczego LogAnalytics o nazwie "DataminrPulse_Alerts_CL".

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.