Microsoft Sentinel için Digital Shadows Searchlight (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

Dijital Gölgeler veri bağlayıcısı, REST API kullanarak Digital Shadows Searchlight'tan Microsoft Sentinel'e olayların ve uyarıların alımını sağlar. Bağlayıcı, olası güvenlik risklerini ve tehditlerini incelemeye, tanılamaya ve analiz etmeye yardımcı olacak olay ve uyarı bilgilerini sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Uygulama ayarları DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (isteğe bağlı)(İşlev Uygulamasının gerektirdiği diğer ayarları ekleyin)Değeri şu şekilde ayarlayınDigitalShadowsURL: https://api.searchlight.app/v1Değeri olarak ayarlayınHighVariabilityClassifications: Değeri şu şekilde ayarlayınClassificationFilterOperation: exposed-credential,marked-documentexclude işlev uygulamasını dışlamak veya include işlev uygulamasını dahil etmek için
Azure işlev uygulaması kodu https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Log Analytics tabloları DigitalShadows_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Dijital Gölgeler

Sorgu örnekleri

En son tetiklenen zamana göre sıralanan tüm Dijital Gölgeler olayları ve uyarıları

DigitalShadows_CL 
| order by raised_t desc

Ön koşullar

Digital Shadows Searchlight ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • REST API Kimlik Bilgileri/izinleri: Dijital Gölgeler hesap kimliği, gizli dizi ve anahtar gereklidir. üzerinde API hakkında daha fazla bilgi edinmek için belgelere https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionbakın.

Satıcı yükleme yönergeleri

Dekont

Bu bağlayıcı, günlüklerini Microsoft Sentinel'e çekmek üzere bir 'Dijital Gölgeler Arama Işığı'na bağlanmak için Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

ADIM 1 - 'Dijital Gölgeler Arama Işığı' API'sinin yapılandırma adımları

Sağlayıcı, Azure İşlevi'nin başarıyla kimlik doğrulaması yapması, yetkilendirme anahtarını veya belirtecini alması ve aletin günlüklerini Microsoft Sentinel'e çekebilmesi için 'Dijital Gölgeler Arama Işığı' API uç noktasını yapılandırmak için ayrıntılı adımlar sağlamalı veya bağlantı vermelidir.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

Önemli

'Dijital Gölgeler Arama Işığı' bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarına (aşağıdakilerden kopyalanabilir) ve 'Dijital Gölgeler Arama Işığı' API yetkilendirme anahtarlarına veya Belirtecine sahip olun.

Seçenek 1 - Azure Resource Manager (ARM) Şablonu

'Digital Shadows Searchlight' bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.

  1. Aşağıdaki Azure'a Dağıt düğmesine tıklayın.

    Deploy To Azure

  2. Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.

  3. Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, API Kullanıcı Adı, API Parolası, 've/veya Diğer gerekli alanlar' girin.

    Dekont

    Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

  4. Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin.

  5. Dağıtmak için Satın Al'a tıklayın.

Seçenek 2 - Azure İşlevleri El ile Dağıtımı

'Digital Shadows Searchlight' bağlayıcısını Azure İşlevleri ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

  1. İşlev Uygulaması oluşturma

    1. Azure Portalı'ndan İşlev Uygulaması'na gidin.
    2. Üstteki + Oluştur'a tıklayın.
    3. Temel Bilgiler sekmesinde Çalışma zamanı yığınının python 3.8 olarak ayarlandığından emin olun.
    4. Barındırma sekmesinde Plan türünün 'Tüketim (Sunucusuz)' olarak ayarlandığından emin olun. 5.Depolama hesabı seçin
    5. 'Diğer gerekli yapılandırmaları ekle'.
    6. Gerekirse 'Diğer tercih edilebilir yapılandırma değişikliklerini yapın', ardından Oluştur'a tıklayın.

  2. İşlev Uygulama Kodunu İçeri Aktarma (Zip dağıtımı)

    1. Azure CLI'yı yükleme
    2. Terminal türünden az functionapp deployment source config-zip -g ResourceGroup -n FunctionApp --src Zip File enter tuşuna basın. Değeri olarak ResourceGroup ayarlayın: kaynak grubu adınız. FunctionApp Değeri olarak ayarlayın: yeni oluşturduğunuz işlev uygulaması adı. Değeri şu Zip File şekilde ayarlayın: digitalshadowsConnector.zip(zip dosyanızın yolu). Not:- Bağlantıdan zip dosyasını indirin - İşlev Uygulama Kodu

  3. İşlev Uygulamasını Yapılandırma

    1. İşlev Uygulaması ekranında İşlev Uygulaması adına tıklayın ve Yapılandırma'yı seçin.
    2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
    3. Aşağıdaki 'x (sayı)' uygulama ayarlarının her birini Ad'ın altına, ilgili dize değerleriyle (büyük/küçük harfe duyarlı) Değer altına ekleyin: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (isteğe bağlı) (İşlev Uygulaması için gereken diğer ayarları ekleyin)
      • Değeri şu DigitalShadowsURL şekilde ayarlayın: https://api.searchlight.app/v1
      • Değeri şu HighVariabilityClassifications şekilde ayarlayın: exposed-credential,marked-document
      • Değeri şu ClassificationFilterOperation şekilde ayarlayın: exclude işlev uygulamasını dışlamak veya include işlev uygulamasını dahil etmek için

      Dekont

      Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Azure Key Vault başvuru belgelerine bakın.

      • Ayrılmış bulut için log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri kullanın. Örneğin, genel bulut için değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://CustomerId.ods.opinsights.azure.us.

  4. Tüm uygulama ayarları girildikten sonra Kaydet'e tıklayın.

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.