Microsoft Sentinel için Derdack SIGNL4 bağlayıcısı

  • Makale

Kritik sistemler başarısız olduğunda veya güvenlik olayları gerçekleştiğinde, SIGNL4 'son kilometreyi' personelinize, mühendislerinize, BT yöneticilerinize ve sahadaki çalışanlarınıza köprüler. Hizmetlerinize, sistemlerinize ve süreçlerinize kısa sürede gerçek zamanlı mobil uyarı ekler. SIGNL4, kalıcı mobil gönderim, SMS metinleri ve sesli aramalar aracılığıyla bildirimde bulunur. Tümleşik görev ve vardiya zamanlama, doğru kişilerin doğru zamanda uyarılmasını sağlar.

Daha fazla bilgi edinin >

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Log Analytics tabloları SIGNL4_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Derdack

Sorgu örnekleri

SIGNL4 uyarı ve durum bilgilerini alın.

SecurityIncident

| where Labels contains "SIGNL4"

Satıcı yükleme yönergeleri

Dekont

Bu veri bağlayıcısı çoğunlukla SIGNL4 tarafında yapılandırılır. Açıklama videosunu burada bulabilirsiniz: SIGNL4'i Microsoft Sentinel ile tümleştirme.

SIGNL4 Bağlan or: Microsoft Sentinel, Azure Güvenlik Merkezi ve diğer Azure Graph Güvenliği API sağlayıcıları için SIGNL4 bağlayıcısı, Azure Güvenliği çözümlerinizle sorunsuz 2 yönlü tümleştirme sağlar. SIGNL4 ekibinize eklendikten sonra bağlayıcı, Azure Graph Güvenlik API'sinden gelen güvenlik uyarılarını okur ve tam olarak otomatik olarak görevdeki ekip üyelerinize uyarı bildirimleri tetikler. Ayrıca uyarı durumunu SIGNL4'ten Graph Güvenlik API'sine eşitler, böylece uyarılar kabul edilir veya kapatılırsa bu durum Azure Graph Güvenlik API'sine veya ilgili güvenlik sağlayıcısına göre de güncelleştirilir. Belirtildiği gibi, bağlayıcı temel olarak Azure Graph Güvenlik API'sini kullanır, ancak Microsoft Sentinel gibi bazı güvenlik sağlayıcıları için Azure çözümlerine göre ayrılmış REST API'leri de kullanır.

Microsoft Sentinel Özellikleri

Microsoft Sentinel, Microsoft'un buluta özel bir SIEM çözümü ve Azure Graph Güvenlik API'sindeki bir güvenlik uyarısı sağlayıcısıdır. Ancak Graph Güvenlik API'siyle sağlanan uyarı ayrıntıları düzeyi Microsoft Sentinel için sınırlıdır. Bu nedenle bağlayıcı, temel alınan Microsoft Sentinel Log Analytics çalışma alanından daha fazla ayrıntı (içgörü kuralı arama sonuçları) ile uyarıları genişletebilir. Bunu yapabilmek için bağlayıcı Azure Log Analytics REST API'si ile iletişim kurar ve izinlere göre (aşağıya bakın) gerekir. Ayrıca uygulama, tüm ilgili güvenlik uyarıları devam ederken veya çözümlendiğinde Microsoft Sentinel olaylarının durumunu da güncelleştirebilir. Bunu yapabilmek için bağlayıcının Azure Aboneliğinizdeki 'Microsoft Sentinel Katkıda Bulunanları' grubunun üyesi olması gerekir. Azure'da otomatik dağıtım Önceden belirtilen API'lere erişmek için gereken kimlik bilgileri, aşağıda indirebileceğiniz küçük bir PowerShell betiği tarafından oluşturulur. Betik sizin için aşağıdaki görevleri gerçekleştirir:

  • Azure Aboneliğinizde oturum açar (lütfen bir yönetici hesabıyla oturum açın)
  • Microsoft Entra kimliğinizde bu bağlayıcı için hizmet sorumlusu olarak da adlandırılan yeni bir kurumsal uygulama oluşturur
  • Azure IAM'nizde yalnızca Azure Log Analytics çalışma alanlarına okuma/sorgu izni veren yeni bir rol oluşturur.
  • Kurumsal uygulamayı bu kullanıcı rolüne dahil eder
  • Kurumsal uygulamayı 'Microsoft Sentinel Katkıda Bulunanları' rolüne ekler
  • Uygulamayı yapılandırmak için ihtiyacınız olan bazı verilerin çıkışlarını oluşturur (aşağıya bakın)

Dağıtım yordamı

  1. PowerShell dağıtım betiğini buradan indirin.
  2. Betiği, yeni uygulama kaydı için dağıttığı rolleri ve izin kapsamlarını gözden geçirin. Bağlayıcıyı Microsoft Sentinel ile kullanmak istemiyorsanız, tüm rol oluşturma ve rol atama kodunu kaldırabilir ve yalnızca Microsoft Entra kimliğinizde uygulama kaydını (SPN) oluşturmak için kullanabilirsiniz.
  3. Betiği çalıştırın. Sonunda, bağlayıcı uygulaması yapılandırmasına girmeniz gereken bilgileri döndürür.
  4. Microsoft Entra Id'de 'Uygulama Kayıtları' seçeneğine tıklayın. 'SIGNL4AzureSecurity' adlı uygulamayı bulun ve ayrıntılarını açın
  5. Sol menü dikey penceresinde 'API İzinleri'ne tıklayın. Ardından 'İzin ekle'ye tıklayın.
  6. Yüklenen dikey pencerede, 'Microsoft API'leri' altında 'Microsoft Graph' kutucuğuna ve ardından 'Uygulama izni'ne tıklayın.
  7. Görüntülenen tabloda 'SecurityEvents' öğesini genişletin ve 'SecurityEvents.Read.All' ve 'SecurityEvents.ReadWrite.All' değerlerini işaretleyin.
  8. 'İzin ekle'ye tıklayın.

SIGNL4 bağlayıcı uygulamasını yapılandırma

Son olarak, betiğin bağlayıcı yapılandırmasında çıkış yaptığı kimlikleri girin:

  • Azure Kiracı Kimliği
  • Azure Abonelik Kimliği
  • İstemci Kimliği (kurumsal uygulamanın)
  • İstemci Gizli Anahtarı (kurumsal uygulamanın) Uygulaması etkinleştirildikten sonra Azure Graph Güvenlik API'sinin uyarılarını okumaya başlar.

NOT: Başlangıçta yalnızca son 24 saat içinde oluşan uyarıları okur.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.