你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Darktrace Connector REST API 连接器

  • 项目

Darktrace REST API 连接器将实时事件从 Darktrace 推送到 Microsoft Sentinel,旨在与 Sentinel 的 Darktrace 解决方案一起使用。 连接器将日志写入标题为“darktrace_model_alerts_CL”的自定义日志表;可以引入模型违规、AI 分析师事件、系统警报和电子邮件警报 - 可以在 Darktrace 系统配置页上设置其他筛选器。 数据从 Darktrace 主服务器推送到 Sentinel。

连接器属性

连接器属性 说明
Log Analytics 表 darktrace_model_alerts_CL
数据收集规则支持 目前不支持
支持的服务 Darktrace

查询示例

查找测试警报

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

返回得分最高的 Darktrace 模型违规

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

返回 AI 分析师事件

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

返回系统运行状况警报

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

返回特定外部发件人的电子邮件日志 (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

先决条件

若要与适用于 Microsoft Sentinel 的 Darktrace Connector REST API 集成,请确保满足以下条件:

  • Darktrace 先决条件:若要使用此数据连接器,需要一个运行 v5.2+ 的 Darktrace 主服务器。 数据通过 HTTPs 从 Darktrace 主服务器发送到 Azure Monitor HTTP 数据收集器 API,因此需要从 Darktrace 主服务器到 Microsoft Sentinel REST API 的出站连接。
  • 筛选 Darktrace 数据:在配置期间,可以在 Darktrace 系统配置页上设置其他筛选,以限制发送的数据量或类型。
  • 试用 Darktrace Sentinel 解决方案:可以通过安装适用于 Microsoft Sentinel 的 Darktrace 解决方案来充分利用此连接器。 这将提供工作簿来可视化警报数据和分析规则,以自动从 Darktrace 模型违规和 AI 分析师事件创建警报和事件。

供应商安装说明

  1. 可在 Darktrace 客户门户上找到详细的安装说明:https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. 记下工作区 ID 和主密钥。 需要在 Darktrace 系统配置页上输入这些详细信息。

Darktrace 配置

  1. 在 Darktrace 系统配置页上执行以下步骤:
  2. 导航到系统配置页(主菜单 >“管理员”>“系统配置”)
  3. 转到“模块配置”,然后单击“Microsoft Sentinel”配置卡
  4. 选择“HTTPS (JSON)”,然后点击“新建”
  5. 填写所需详细信息并选择适当的筛选器
  6. 单击“验证警报设置”以尝试身份验证并发送测试警报
  7. 运行“查找测试警报”示例查询以验证是否已收到测试警报

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案