Łącznik usługi Digital Shadows Searchlight (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

  • Artykuł

Łącznik danych usługi Digital Shadows zapewnia pozyskiwanie zdarzeń i alertów z usługi Digital Shadows Searchlight do usługi Microsoft Sentinel przy użyciu interfejsu API REST. Łącznik udostępni informacje o zdarzeniach i alertach, takie jak ułatwia analizowanie, diagnozowanie i analizowanie potencjalnych zagrożeń i zagrożeń bezpieczeństwa.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Ustawienia aplikacji DigitalShadowsAccountID
Identyfikator obszaru roboczego
Klucz obszaru roboczego
DigitalShadowsKey
DigitalShadowsSecret
Historyczne dni
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (opcjonalnie)(dodaj inne ustawienia wymagane przez aplikację funkcji)Ustaw DigitalShadowsURL wartość na: https://api.searchlight.app/v1Ustaw wartość na: Ustaw wartość na: Ustaw ClassificationFilterOperationHighVariabilityClassifications wartość na: excludeexposed-credential,marked-documentdla wykluczania aplikacji funkcji lub include dołączania aplikacji funkcji
Kod aplikacji funkcji platformy Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Tabele usługi Log Analytics DigitalShadows_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Cyfrowe cienie

Przykłady zapytań

Wszystkie zdarzenia i alerty usługi Digital Shadows uporządkowane według czasu ostatnio zgłoszone

DigitalShadows_CL 
| order by raised_t desc

Wymagania wstępne

Aby zintegrować aplikację Digital Shadows Searchlight (przy użyciu usługi Azure Functions), upewnij się, że:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator konta usługi Digital Shadows, wpis tajny i klucz . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w systemie https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązania połączenia z usługą "Digital Shadows Searchlight" w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API "Digital Shadows Searchlight"

Dostawca powinien podać lub połączyć się ze szczegółowymi krokami konfigurowania punktu końcowego interfejsu API "Digital Shadows Searchlight", aby funkcja platformy Azure mogła ją pomyślnie uwierzytelnić, pobrać klucz autoryzacji lub token i ściągnąć dzienniki urządzenia do usługi Microsoft Sentinel.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika "Digital Shadows Searchlight" należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów), a także klucz autoryzacji interfejsu API "Digital Shadows Searchlight" lub token, łatwo dostępne.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda służy do zautomatyzowanego wdrażania łącznika "Digital Shadows Searchlight".

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź identyfikator obszaru roboczego, klucz obszaru roboczego, nazwę użytkownika interfejsu API, hasło interfejsu API i/lub inne wymagane pola.

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault. 4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia. 5. Kliknij przycisk Kup , aby wdrożyć.

Opcja 2 — ręczne wdrażanie usługi Azure Functions

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łącznik "Digital Shadows Searchlight" za pomocą usługi Azure Functions.

  1. Tworzenie aplikacji funkcji

  2. W witrynie Azure Portal przejdź do pozycji Aplikacja funkcji.

  3. Kliknij pozycję + Utwórz u góry.

  4. Na karcie Podstawowe upewnij się, że stos środowiska uruchomieniowego jest ustawiony na python 3.8.

  5. Na karcie Hosting upewnij się, że typ planu jest ustawiony na wartość "Zużycie (bezserwerowe)". 5.wybierz pozycję Konto magazynu

  6. "Dodaj inne wymagane konfiguracje".

  7. "Wprowadź inne preferowane zmiany konfiguracji", w razie potrzeby, a następnie kliknij przycisk Utwórz.

  8. Importowanie kodu aplikacji funkcji (wdrożenie zip)

  9. Instalowanie interfejsu wiersza polecenia platformy Azure

  10. Z typu az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> terminalu i naciśnij klawisz Enter. ResourceGroup Ustaw wartość na: nazwę grupy zasobów. Ustaw wartość na: nowo utworzoną FunctionApp nazwę aplikacji funkcji. Zip File Ustaw wartość na: digitalshadowsConnector.zip(ścieżka do pliku zip). Uwaga: — Pobierz plik zip z linku — kod aplikacji funkcji

  11. Konfigurowanie aplikacji funkcji

  12. Na ekranie Aplikacja funkcji kliknij nazwę aplikacji funkcji i wybierz pozycję Konfiguracja.

  13. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.

  14. Dodaj każde z następujących ustawień aplikacji "x (liczba)" indywidualnie, w obszarze Nazwa z odpowiednimi wartościami ciągu (wielkość liter) w obszarze Wartość: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (opcjonalnie) (dodaj inne ustawienia wymagane przez aplikację funkcji) Ustaw DigitalShadowsURL wartość na: Ustaw wartość na: Ustaw wartość na: Ustaw HighVariabilityClassifications wartość na: exposed-credential,marked-documenthttps://api.searchlight.app/v1ClassificationFilterOperation wartość do: exclude w przypadku wykluczania aplikacji funkcji lub include dołączania aplikacji funkcji

Uwaga: jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Azure Key Vault.

  • Użyj identyfikatora logAnalyticsUri, aby zastąpić punkt końcowy interfejsu API analizy dzienników dla dedykowanej chmury. Na przykład w przypadku chmury publicznej pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.
  1. Po wprowadzeniu wszystkich ustawień aplikacji kliknij przycisk Zapisz.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.