Соединитель Поиска цифровых теней (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений от цифрового средства поиска теней в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, чтобы помочь в изучении, диагностике и анализе потенциальных рисков и угроз безопасности.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Параметры приложения DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
Исторические дни
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (необязательно)(добавьте любые другие параметры, необходимые приложению-функции)Задайте DigitalShadowsURL для параметра значение: Задайте HighVariabilityClassifications значение: exposed-credential,marked-documentClassificationFilterOperationexclude для исключения приложения-функции или include для включения приложения-функции. https://api.searchlight.app/v1
Код приложения-функции Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Таблицы Log Analytics DigitalShadows_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Цифровые тени

Примеры запросов

Все инциденты цифровых теней и оповещения, упорядоченные по времени последней поднятой

DigitalShadows_CL 
| order by raised_t desc

Необходимые компоненты

Чтобы интегрироваться с Digital Shadows Searchlight (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Учетные данные и разрешения REST API: идентификатор учетной записи Digital Shadows, секрет и ключ необходимы. Дополнительные сведения об API см. в https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionдокументации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к объекту "Digital Shadows Searchlight" для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке ДЛЯ API поиска цифровых теней

Поставщик должен предоставить или связаться с подробными инструкциями по настройке конечной точки API Digital Shadows Searchlight, чтобы функция Azure успешно выполнила проверку подлинности, получить ключ авторизации или маркер и извлечь журналы (модуль) в Microsoft Sentinel.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя "Digital Shadows Searchlight" укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела), а также ключи авторизации API Digital Shadows Searchlight или token, легко доступные.

Вариант 1. Шаблон Azure Resource Manager (ARM)

Используйте этот метод для автоматического развертывания соединителя Digital Shadows Searchlight.

  1. Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.

    Развертывание в Azure

  2. Выберите предпочтительную подписку, группу ресурсов и расположение.

  3. Введите идентификатор рабочей области, ключ рабочей области, имя пользователя API, пароль API, "и/или другие обязательные поля".

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault. 4. Пометить проверка box с меткой я согласен с условиями, указанными выше. 5. Нажмите кнопку " Купить ", чтобы развернуть.

Вариант 2. Развертывание Функции Azure вручную

Выполните следующие пошаговые инструкции по развертыванию соединителя "Digital Shadows Searchlight" вручную с помощью Функции Azure.

  1. Создайте приложение-функцию

  2. На портале Azure перейдите к приложению-функции.

  3. Нажмите кнопку + Создать вверху.

  4. На вкладке "Основные сведения" убедитесь, что стек среды выполнения имеет значение Python 3.8.

  5. На вкладке "Размещение" убедитесь, что для типа плана задано значение "Потребление (бессерверное)". 5.select служба хранилища account

  6. "Добавить другие необходимые конфигурации".

  7. При необходимости внесите другие предпочтительнее изменения конфигурации, а затем нажмите кнопку "Создать".

  8. Импорт кода приложения-функции (развертывание ZIP-файла)

  9. Установите Azure CLI

  10. Введите тип az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> терминала и нажмите клавишу ВВОД. ResourceGroup Задайте значение: имя группы ресурсов. Задайте для значения имя созданного FunctionApp приложения-функции. Zip File Задайте для параметра значение: digitalshadowsConnector.zip(путь к ZIP-файлу). Примечание.. Скачивание ZIP-файла из ссылки — код приложения-функции

  11. Настройте приложение-функцию

  12. На экране приложения-функции щелкните имя приложения-функции и выберите "Конфигурация".

  13. На вкладке Параметры приложения выберите +Новый параметр приложения.

  14. Добавьте каждый из следующих параметров приложения x (число)< по отдельности. в разделе Name с соответствующими строковыми значениями (с учетом регистра) в разделе Value: DigitalShadowsAccountID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (необязательно) (добавить любые другие параметры, необходимые приложению-функцией), задайте значение следующим образом: https://api.searchlight.app/v1HighVariabilityClassificationsexposed-credential,marked-document Задайте DigitalShadowsURL значение: ClassificationFilterOperation значение: exclude для исключения приложения-функции или include для включения приложения-функции

Примечание. Если вы используете секреты Azure Key Vault для любого из указанных выше значений, используйте схему@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Azure Key Vault.

  • Используйте logAnalyticsUri, чтобы переопределить конечную точку API log analytics для выделенного облака. Например, для общедоступного облака оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us
  1. После ввода всех параметров приложения нажмите кнопку "Сохранить".

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.