你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 Digital Shadows Searchlight(使用 Azure Functions)连接器
Digital Shadows 数据连接器使用 REST API 将事件和警报从 Digital Shadows Searchlight 引入到 Microsoft Sentinel。 该连接器将提供事件和警报信息,以帮助检查、诊断和分析潜在安全风险与威胁。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| 应用程序设置 | DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri(可选)(添加函数应用所需的任何其他设置)将 DigitalShadowsURL 值设置为 https://api.searchlight.app/v1,将 HighVariabilityClassifications 值设置为 exposed-credential,marked-document,将 ClassificationFilterOperation 值设置为 exclude(以排除函数应用)或 include(以包含函数应用) |
| Azure 函数应用代码 | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip |
| Log Analytics 表 | DigitalShadows_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Digital Shadows |
查询示例
按最近引发时间将所有 Digital Shadows 事件和警报排序
DigitalShadows_CL
| order by raised_t desc
先决条件
要与 Digital Shadows Searchlight(使用 Azure Functions)集成,请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- REST API 凭据/权限:需要 Digital Shadows 帐户 ID、机密和密钥。 请参阅
https://portal-digitalshadows.com/learn/searchlight-api/overview/description上的文档以详细了解 API。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到“Digital Shadows Searchlight”,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 -“Digital Shadows Searchlight”API 的配置步骤
提供程序应提供或链接到配置“Digital Shadows Searchlight”API 终结点的详细步骤,以便 Azure 函数可以成功向其进行身份验证,获取其授权密钥或令牌,并将设备的日志拉取到 Microsoft Sentinel 中。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:在部署“Digital Shadows Searchlight”连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制),以及“Digital Shadows Searchlight”API 授权密钥或令牌。
选项 1 - Azure 资源管理器 (ARM) 模板
使用此方法自动部署“Digital Shadows Searchlight”连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
输入“工作区 ID”、“工作区密钥”、“API 用户名”、“API 密码”、“和/或其他必填字段”。
注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4. 选中标有“我同意上述条款和条件”的复选框。 5. 单击“购买”进行部署。
选项 2 - 手动部署 Azure Functions
按照以下分步说明使用 Azure Functions 手动部署“Digital Shadows Searchlight”连接器。
创建函数应用
单击顶部的“+ 创建”。
在“基本信息”选项卡中,确保将“运行时堆栈”设置为“python 3.8”。
在“托管”选项卡中,确保将“计划类型”设置为“消耗(无服务器)”。 5. 选择存储帐户
添加其他所需配置。
根据需要进行其他首选配置更改,然后单击“创建”。
导入函数应用代码(Zip 部署)
安装 Azure CLI
从终端键入
az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File>并按 Enter。 将ResourceGroup设置为资源组名称。 将FunctionApp值设置为新创建的函数应用名称。 将Zip File值设置为digitalshadowsConnector.zip(zip 文件的路径)。 注意:请从以下链接下载 zip 文件 - 函数应用代码配置函数应用
在“函数应用”屏幕中,单击函数应用名称并选择“配置”。
在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
将以下 x 个应用程序设置逐个添加到“名称”下,并将其各自的字符串值(区分大小写)添加到“值”下:DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri(可选)(添加函数应用所需的任何其他设置)将
DigitalShadowsURL值设置为https://api.searchlight.app/v1,将HighVariabilityClassifications值设置为exposed-credential,marked-document,将ClassificationFilterOperation值设置为exclude(以排除函数应用)或include(以包含函数应用)
注意:如果针对以上任何值使用 Azure 密钥保管库机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅 Azure 密钥保管库参考文档。
- 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:
https://<CustomerId>.ods.opinsights.azure.us。
- 输入所有应用程序设置后,单击“保存”。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。