Share via

Digital Shadows Searchlight-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Dataanslutningsappen Digital Shadows tillhandahåller inmatning av incidenter och aviseringar från Digital Shadows Searchlight till Microsoft Sentinel med hjälp av REST-API:et. Anslutningsappen tillhandahåller information om incidenter och aviseringar så att den hjälper till att undersöka, diagnostisera och analysera potentiella säkerhetsrisker och hot.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Programinställningar DigitalShadowsAccountID
WorkspaceID
Arbetsytenyckel
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (valfritt)(lägg till andra inställningar som krävs av funktionsappen)Ange DigitalShadowsURL värdet till: https://api.searchlight.app/v1Ange HighVariabilityClassifications värdet till: exposed-credential,marked-documentAnge ClassificationFilterOperation värdet till: exclude för exkludera funktionsapp eller include inkludera funktionsapp
Kod för Azure-funktionsapp https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Log Analytics-tabeller DigitalShadows_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Digitala skuggor

Exempel på frågor

Alla Digital Shadows-incidenter och aviseringar ordnade efter tidpunkt som senast utlöstes

DigitalShadows_CL 
| order by raised_t desc

Förutsättningar

Om du vill integrera med Digital Shadows Searchlight (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Autentiseringsuppgifter/behörigheter för REST API: Digital Shadows-konto-ID, hemlighet och nyckel krävs. Läs dokumentationen om du vill veta mer om API:et på https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till en Digital Shadows Searchlight för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Konfigurationssteg för API:et "Digital Shadows Searchlight"

Providern bör tillhandahålla eller länka till detaljerade steg för att konfigurera API-slutpunkten "Digital Shadows Searchlight" så att Azure-funktionen kan autentisera till den, hämta dess auktoriseringsnyckel eller token och hämta enhetens loggar till Microsoft Sentinel.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT! Innan du distribuerar anslutningsappen "Digital Shadows Searchlight" måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande), samt API-auktoriseringsnyckeln eller token för Digital Shadows Searchlight, som är lättillgänglig.

Alternativ 1 – Arm-mall (Azure Resource Manager)

Använd den här metoden för automatisk distribution av anslutningsappen "Digital Shadows Searchlight".

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange arbetsyte-ID, arbetsytenyckel, API-användarnamn, API-lösenord, "och/eller andra obligatoriska fält".

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser. 4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan. 5. Klicka på Köp för att distribuera.

Alternativ 2 – Manuell distribution av Azure Functions

Använd följande stegvisa instruktioner för att distribuera anslutningsappen "Digital Shadows Searchlight" manuellt med Azure Functions.

  1. Skapa en funktionsapp

  2. Från Azure-portalen går du till Funktionsapp.

  3. Klicka på + Skapa överst.

  4. På fliken Grundläggande ser du till att Runtime-stacken är inställd på python 3.8.

  5. På fliken Värd kontrollerar du att plantypen är inställd på "Förbrukning (serverlös)". 5.select Lagringskonto

  6. Lägg till andra nödvändiga konfigurationer.

  7. "Gör andra föredragna konfigurationsändringar" om det behövs och klicka sedan på Skapa.

  8. Importera funktionsappkod (zip-distribution)

  9. Installera Azure CLI

  10. Från terminaltyp az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> och tryck på retur. Ange värdet ResourceGroup till: resursgruppens namn. Ange värdet FunctionApp till: ditt nyligen skapade funktionsappnamn. Ange värdet Zip File till: digitalshadowsConnector.zip(sökväg till zip-filen). Obs!- Ladda ned zip-filen från länken – Funktionsappkod

  11. Konfigurera funktionsappen

  12. På skärmen Funktionsapp klickar du på funktionsappens namn och väljer Konfiguration.

  13. På fliken Programinställningar väljer du + Ny programinställning.

  14. Lägg till var och en av följande programinställningar för x (antal) individuellt, under Namn med sina respektive strängvärden (skiftlägeskänsliga) under Värde: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (valfritt) (lägg till andra inställningar som krävs av funktionsappen) Ange DigitalShadowsURL värdet till: https://api.searchlight.app/v1 Ange HighVariabilityClassifications värdet till: Ange värdet till: exposed-credential,marked-document Ange ClassificationFilterOperation värde till: exclude för exkludera funktionsapp eller include för inkludera funktionsapp

Obs! Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Azure Key Vault-referenser.

  • Använd logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten för dedikerade moln. För offentliga moln lämnar du till exempel värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.
  1. När alla programinställningar har angetts klickar du på Spara.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.