Conector Darktrace Connector para a API REST do Microsoft Sentinel

  • Artigo

O conector Darktrace para API REST envia eventos em tempo real do Darktrace para o Microsoft Sentinel e foi projetado para ser usado com a Solução Darktrace para Sentinel. O conector grava logs em uma tabela de logs personalizada intitulada "darktrace_model_alerts_CL". Violações de modelo, incidentes de analistas de IA, alertas do sistema e alertas de email podem ser ingeridos; e filtros adicionais podem ser configurados na página de configuração do sistema do Darktrace. Os dados são enviados por push para o Sentinel de mestres do Darktrace.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics darktrace_model_alerts_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Darktrace

Exemplos de consulta

Procurar alertas de teste

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Retornar as violações de modelo do Darktrace com mais pontuação

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Retornar incidentes de analista de IA

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Retornar alertas de integridade do sistema

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Retornar logs de email para um remetente externo específico (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Pré-requisitos

Para fazer a integração com o conector Darktrace para a API REST do Microsoft Sentinel, verifique se você tem:

  • Pré-requisitos do Darktrace: para usar esse conector de dados, é necessário um mestre do Darktrace com a versão 5.2 ou posterior. Os dados são enviados para a API do Coletor de Dados HTTP do Azure Monitor por HTTPs de mestres do Darktrace. Portanto, a conectividade de saída do mestre do Darktrace para a API REST do Microsoft Sentinel é necessária.
  • Filtrar dados do Darktrace: durante a configuração, é possível definir filtragem adicional na página de configuração do sistema do Darktrace para restringir a quantidade ou os tipos de dados enviados.
  • Experimente a solução Darktrace Sentinel: aproveite ao máximo esse conector com a instalação da solução Darktrace para Microsoft Sentinel. Assim, você terá pastas de trabalho para visualizar dados de alerta e regras de análise para criar automaticamente alertas e incidentes de violações de modelo do Darktrace e incidentes de analista de IA.

Instruções de instalação do fornecedor

  1. Veja instruções detalhadas sobre a configuração no portal do cliente do Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Anote a ID e a chave primária do espaço de trabalho. Você precisará inserir esses dados na página de configuração do sistema do Darktrace.

Configuração do Darktrace

  1. Siga estas etapas na página de configuração do sistema do Darktrace:
  2. Navegue até a página de configuração do sistema (Menu principal > Administração > Configuração do sistema)
  3. Acesse "Configuração de módulos" e clique no cartão de configuração "Microsoft Sentinel"
  4. Selecione "HTTPS (JSON)" e clique em "Novo"
  5. Preencha os detalhes necessários e selecione os filtros apropriados
  6. Clique em "Verificar configurações de alerta" para tentar fazer autenticação e enviar um alerta de teste
  7. Execute uma consulta de exemplo "Procurar alertas de teste" para validar se o alerta de teste foi recebido

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.