Microsoft Sentinel için Darktrace Bağlayıcısı REST API bağlayıcısı

  • Makale

Darktrace REST API bağlayıcısı, Gerçek zamanlı olayları Darktrace'ten Microsoft Sentinel'e gönderir ve Sentinel için Darktrace Çözümü ile kullanılmak üzere tasarlanmıştır. Bağlayıcı günlükleri "darktrace_model_alerts_CL" başlıklı özel bir günlük tablosuna yazar; Model İhlalleri, Yapay Zeka Analisti Olayları, Sistem Uyarıları ve Email Uyarıları alınabiliyor; Darktrace Sistem Yapılandırması sayfasında ek filtreler ayarlanabilir. Veriler, Darktrace ana şablonlarından Sentinel'e gönderilir.

Bağlayıcı öznitelikleri

Bağlayıcı özniteliği Description
Log Analytics tabloları darktrace_model_alerts_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen Koyu iz

Sorgu örnekleri

Test Uyarılarını arama

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

En İyi Puanlama Koyu Kapanı Modeli İhlallerini Döndür

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Dönüş Yapay Zeka Analisti Olayları

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Sistem Durumu Uyarılarını Döndürme

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Belirli bir dış gönderen için e-posta Günlüklerini döndürme (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Önkoşullar

Microsoft Sentinel REST API için Darktrace Bağlayıcısı ile tümleştirmek için aşağıdakilere sahip olduğunuzdan emin olun:

  • Darktrace Önkoşulları: Bu Veri Bağlayıcısı'nı kullanmak için v5.2+ çalıştıran bir Darktrace ana şablonu gereklidir. Veriler, Darktrace ana şablonlarından HTTP'ler üzerinden Azure İzleyici HTTP Veri Toplayıcı API'sine gönderilir, bu nedenle Darktrace ana makinesinden Microsoft Sentinel REST API'sine giden bağlantı gereklidir.
  • Darktrace Verilerini Filtreleme: Yapılandırma sırasında, gönderilen veri miktarını veya türlerini kısıtlamak için Darktrace Sistem Yapılandırması sayfasında ek filtreleme ayarlamak mümkündür.
  • Darktrace Sentinel Çözümünü deneyin: Microsoft Sentinel için Darktrace Çözümünü yükleyerek bu bağlayıcıdan en iyi şekilde yararlanın. Bu, Darktrace Modeli İhlalleri ve Yapay Zeka Analisti olaylarından otomatik olarak uyarılar ve olaylar oluşturmak için uyarı verilerini ve analiz kurallarını görselleştirmeye yönelik çalışma kitapları sağlar.

Satıcı yükleme yönergeleri

  1. Ayrıntılı kurulum yönergelerini Darktrace Müşteri Portalı'nda bulabilirsiniz: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Çalışma Alanı Kimliğini ve Birincil anahtarı not edin. Bu ayrıntıları Darktrace Sistem Yapılandırması sayfanıza girmeniz gerekir.

Darktrace Yapılandırması

  1. Darktrace Sistem Yapılandırması sayfasında aşağıdaki adımları gerçekleştirin:
  2. Sistem Yapılandırması Sayfasına gidin (Ana Menü > Yönetici > Sistem Yapılandırması)
  3. Modül yapılandırması'na gidin ve "Microsoft Sentinel" yapılandırma kartına tıklayın
  4. "HTTPS (JSON)" öğesini seçin ve "Yeni" tuşuna tıklayın
  5. Gerekli ayrıntıları doldurun ve uygun filtreleri seçin
  6. Kimlik doğrulamayı deneyip bir test uyarısı göndermek için "Uyarı Ayarlarını Doğrula" seçeneğine tıklayın
  7. Test uyarısının alındığını doğrulamak için "Test Uyarılarını Ara" örnek sorgusunu çalıştırın

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.