Conector Derdack SIGNL4 para o Microsoft Sentinel

  • Artigo

Quando os sistemas críticos falham ou ocorrem incidentes de segurança, o SIGNL4 faz a ponte da “última milha” para sua equipe, engenheiros, administradores de TI e funcionários em campo. Ele adiciona alertas móveis em tempo real nos seus serviços, sistemas e processos em pouco tempo. O SIGNL4 notifica por meio de push móvel persistente, texto por SMS e chamadas de voz com confirmação, acompanhamento e escalonamento. O serviço integrado e o agendamento de turnos garantem que as pessoas certas sejam alertadas na hora certa.

Saiba mais >

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics SIGNL4_CL
Suporte às regras de coleta de dados Sem suporte no momento
Com suporte por Derdack

Exemplos de consulta

Obter informações de alerta e status do SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Instruções de instalação do fornecedor

Observação

Esse conector de dados é configurado principalmente no lado do SIGNL4. Você pode encontrar um vídeo de descrição aqui: Integrar o SIGNL4 com o Microsoft Sentinel.

Conector SIGNL4: o conector SIGNL4 do Microsoft Sentinel, da Central de Segurança do Azure e de outros provedores da API de Segurança do Azure Graph fornece integração bidirecional perfeita com suas soluções de Segurança do Azure. Uma vez adicionado à sua equipe SIGNL4, o conector lerá os alertas de segurança da API de Segurança do Azure Graph e disparará notificações de alerta para os membros da equipe de plantão. Ele também sincronizará o status de alerta do SIGNL4 com a API de Segurança do Graph, de modo que, se os alertas forem confirmados ou fechados, esse status também será atualizado no alerta da API de Segurança do Azure Graph ou no provedor de segurança correspondente. Como mencionado, o conector usa principalmente a API de Segurança do Azure Graph, mas para alguns provedores de segurança, como o Microsoft Sentinel, ele também usa APIs REST dedicadas de acordo com as soluções do Azure.

Recursos do Microsoft Sentinel

O Microsoft Sentinel é uma solução SIEM nativa da nuvem da Microsoft e um provedor de alertas de segurança na API de Segurança do Azure Graph. Entretanto, o nível de detalhes do alerta disponível com a API de Segurança do Graph é limitado para o Microsoft Sentinel. O conector pode, portanto, aumentar os alertas com mais detalhes (resultados de pesquisa da regra de insights), do workspace do Log Analytics do Microsoft Sentinel subjacente. Para fazer isso, o conector se comunica com a API REST do Azure Log Analytics e precisa de acordo com as permissões (consulte abaixo). Além disso, o aplicativo também pode atualizar o status dos incidentes do Microsoft Sentinel, quando todos os alertas de segurança relacionados estiverem, por exemplo, em andamento ou resolvidos. Para poder fazer isso, o conector precisa ser membro do grupo 'Colaboradores do Microsoft Sentinel' na sua Assinatura do Azure. Implantação automatizada no Azure: as credenciais necessárias para acessar as APIs mencionadas anteriormente são geradas por um pequeno script do PowerShell que você pode baixar abaixo. O script executa as seguintes tarefas para você:

  • Conecta você à sua Assinatura do Azure (faça logon com uma conta de administrador)
  • Cria um novo aplicativo empresarial para esse conector na sua ID do Microsoft Entra, também conhecida como entidade de serviço
  • Cria uma nova função no seu IAM do Azure que concede permissão de leitura/consulta apenas para workspace do Azure Log Analytics.
  • Junta o aplicativo empresarial a essa função de usuário
  • Junta o aplicativo empresarial à função 'Colaboradores do Microsoft Sentinel'
  • Produz alguns dados que você precisa para configurar o aplicativo (veja abaixo)

Procedimento de implantação

  1. Baixe o script de implantação do PowerShell aqui.
  2. Examine o script, as funções e os escopos de permissão implantados no novo registro de aplicativo. Se você não quiser usar o conector com o Microsoft Sentinel, poderá remover toda a criação de função e o código de atribuição de função e usá-lo apenas para criar o registro de aplicativo (SPN) na sua ID do Microsoft Entra.
  3. Execute o script. No final, ele gera as informações que você precisa inserir na configuração do aplicativo do conector.
  4. Na ID do Microsoft Entra, clique em 'Registros de Aplicativo'. Encontre o aplicativo com o nome 'SIGNL4AzureSecurity' e abra seus detalhes
  5. No menu esquerdo, clique em 'Permissões de API'. Depois clique em clique em 'Adicionar uma permissão'.
  6. Na folha que é carregada, em 'APIs da Microsoft', clique no bloco 'Microsoft Graph' e, em seguida, clique em 'Permissão do aplicativo'.
  7. Na tabela exibida, expanda 'SecurityEvents' e marque 'SecurityEvents.Read.All' e 'SecurityEvents.ReadWrite.All'.
  8. Clique em 'Adicionar permissões'.

Configurando o aplicativo do conector SIGNL4

Para finalizar, insira as IDs que o script gerou na configuração do conector:

  • ID de Locatário do Azure
  • ID de assinatura do Azure
  • ID do Cliente (do aplicativo empresarial)
  • Segredo do Cliente (do aplicativo empresarial) Assim que o aplicativo estiver habilitado, ele começará a ler seus alertas da API de Segurança do Azure Graph.

OBSERVAÇÃO: inicialmente, ele lerá apenas os alertas que ocorreram nas últimas 24 horas.

Próximas etapas

Para obter mais informações, acesse a solução relacionada no Azure Marketplace.