Microsoft Sentinel için AI Analyst Darktrace bağlayıcısı
Darktrace bağlayıcısı kullanıcıların Darktrace Modeli İhlallerini Microsoft Sentinel ile gerçek zamanlı olarak bağlamasına olanak tanıyarak araştırmayı geliştirmek için özel Panolar, Çalışma Kitapları, Not Defterleri ve Özel Uyarılar oluşturulmasına olanak tanır. Microsoft Sentinel'in Darktrace günlüklerine yönelik gelişmiş görünürlüğü, güvenlik tehditlerinin izlenmesini ve azaltılmasını sağlar.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | CommonSecurityLog (Darktrace) |
| Veri toplama kuralları desteği | Çalışma alanı dönüştürme DCR |
| Destekleyen: | Koyu iz |
Sorgu örnekleri
en son 10 veri ihlali
CommonSecurityLog
| where DeviceVendor == "Darktrace"
| order by TimeGenerated desc
| limit 10
Satıcı yükleme yönergeleri
- Linux Syslog aracısı yapılandırması
Ortak Olay Biçimi (CEF) Syslog iletilerinizi toplamak ve Bunları Microsoft Sentinel'e iletmek için Linux aracısını yükleyin ve yapılandırın.
Tüm bölgelerdeki verilerin seçili çalışma alanında depolanacağına dikkat edin
1.1 Linux makinesi seçme veya oluşturma
Microsoft Sentinel'in güvenlik çözümünüzle Microsoft Sentinel arasında ara sunucu olarak kullanacağı bir Linux makinesi seçin veya oluşturun. Bu makine şirket içi ortamınızda, Azure'da veya diğer bulutlarda olabilir.
1.2 Linux makinesine CEF toplayıcısını yükleme
Linux makinenize Microsoft Monitoring Agent'ı yükleyin ve makineyi gerekli bağlantı noktasını dinleyecek ve iletileri Microsoft Sentinel çalışma alanınıza iletecek şekilde yapılandırın. CEF toplayıcısı 514 TCP numaralı bağlantı noktasında CEF iletilerini toplar.
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version.
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir.
CEF toplayıcısını yüklemek ve uygulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Ortak Olay Biçimi (CEF) günlüklerini Syslog aracısına iletme
Syslog iletilerini CEF biçiminde Syslog aracısı aracılığıyla Azure çalışma alanınıza iletmek için Darktrace'i yapılandırın.
Darktrace Threat Visualizer içinde, Yönetici altındaki ana menüde Sistem Yapılandırması sayfasına gidin.
Sol taraftaki menüden Modüller'i seçin ve kullanılabilir İş Akışı Tümleştirmeleri'nden Microsoft Sentinel'i seçin.\n 3) Bir yapılandırma penceresi açılır. Microsoft Sentinel Syslog CEF'yi bulun ve daha önce kullanıma sunulmadığı sürece yapılandırma ayarlarını göstermek için Yeni'ye tıklayın.
Sunucu yapılandırması alanına günlük ileticisinin konumunu girin ve isteğe bağlı olarak iletişim bağlantı noktasını değiştirin. Seçilen bağlantı noktasının 514 olarak ayarlandığından ve herhangi bir aracı güvenlik duvarı tarafından izin verildiğinden emin olun.
Uyarı eşiklerini, zaman farklarını veya ek ayarları gerektiği gibi yapılandırın.
Syslog söz dizimini değiştiren etkinleştirmek isteyebileceğiniz ek yapılandırma seçeneklerini gözden geçirin.
Uyarı Gönder'i etkinleştirin ve değişikliklerinizi kaydedin.
- Bağlantıyı doğrulama
Bağlantınızı doğrulamak için yönergeleri izleyin:
Günlüklerin CommonSecurityLog şeması kullanılarak alınılıp alınmadığını denetlemek için Log Analytics'i açın.
Bağlantının çalışma alanınıza veri akışı gerçekleştirmesi yaklaşık 20 dakika sürebilir.
Günlükler alınmazsa aşağıdaki bağlantı doğrulama betiğini çalıştırın:
- Aşağıdaki komutu kullanarak makinenizde Python olduğundan emin olun: python -version
- Makinenizde yükseltilmiş izinlere (sudo) sahip olmanız gerekir
Bağlantınızı doğrulamak için aşağıdaki komutu çalıştırın:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Makinenizin güvenliğini sağlama
Makinenin güvenliğini kuruluşunuzun güvenlik ilkesine göre yapılandırdığından emin olun