موصل Darktrace الاتصال or REST API ل Microsoft Sentinel
يدفع موصل Darktrace REST API الأحداث في الوقت الفعلي من Darktrace إلى Microsoft Sentinel وتم تصميمه لاستخدامه مع حل Darktrace ل Sentinel. يكتب الموصل سجلات إلى جدول سجل مخصص بعنوان "darktrace_model_alerts_CL"؛ يمكن استيعاب خروقات النموذج وحوادث محلل الذكاء الاصطناعي وتنبيهات النظام وتنبيهات البريد الإلكتروني - يمكن إعداد عوامل تصفية إضافية على صفحة تكوين نظام Darktrace. يتم دفع البيانات إلى Sentinel من Darktrace masters.
هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.
سمات الاتصال أو
| سمة الموصل | الوصف |
|---|---|
| جدول (جداول) Log Analytics | darktrace_model_alerts_CL |
| دعم قواعد جمع البيانات | غير مدعوم حاليًا |
| مدعومة من قبل | Darktrace |
عينات الاستعلام
ابحث عن تنبيهات الاختبار
darktrace_model_alerts_CL
| where modelName_s == "Unrestricted Test Model"
إرجاع أعلى تسجيل خروقات نموذج Darktrace
darktrace_model_alerts_CL
| where dtProduct_s =="Policy Breach"
| project-rename SrcIpAddr=SourceIP
| project-rename SrcHostname=hostname_s
| project-rename DarktraceLink=breachUrl_s
| project-rename ThreatRiskLevel=score_d
| project-rename NetworkRuleName=modelName_s
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
| top 10 by ThreatRiskLevel desc
إرجاع حوادث محلل الذكاء الاصطناعي
darktrace_model_alerts_CL
| where dtProduct_s == "AI Analyst"
| project-rename EventStartTime=startTime_s
| project-rename EventEndTime = endTime_s
| project-rename NetworkRuleName=title_s
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
| project-rename ThreatCategory=dtProduct_s
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
| project-rename SrcHostname=hostname_s
| project-rename DarktraceLink=url_s
| project-rename Summary=summary_s
| project-rename GroupScore=groupScore_d
| project-rename GroupCategory=groupCategory_s
| project-rename SrcDeviceName=bestDeviceName_s
إرجاع تنبيهات صحة النظام
darktrace_model_alerts_CL
| where dtProduct_s == "System Alert"
إرجاع سجلات البريد الإلكتروني لمرسل خارجي معين (example@test.com)
darktrace_model_alerts_CL
| where dtProduct_s == 'Antigena Email'
| where from_s == 'example@test.com'
المتطلبات الأساسية
للتكامل مع Darktrace الاتصال or ل Microsoft Sentinel REST API تأكد من أن لديك:
- متطلبات Darktrace الأساسية: لاستخدام هذه البيانات الاتصال أو مطلوب نسخة رئيسية من Darktrace تعمل بنظام v5.2+ . يتم إرسال البيانات إلى Azure Monitor HTTP Data Collector API عبر HTTPs من Darktrace masters، لذلك يلزم الاتصال الصادر من Darktrace الرئيسي إلى Microsoft Sentinel REST API.
- تصفية بيانات Darktrace: أثناء التكوين، من الممكن إعداد تصفية إضافية على صفحة تكوين نظام Darktrace لتقييد كمية البيانات المرسلة أو أنواعها.
- جرب حل Darktrace Sentinel: يمكنك تحقيق أقصى استفادة من هذا الموصل عن طريق تثبيت حل Darktrace ل Microsoft Sentinel. سيوفر هذا مصنفات لتصور بيانات التنبيه وقواعد التحليلات لإنشاء تنبيهات وحوادث تلقائيا من خرق نموذج Darktrace وحوادث محلل الذكاء الاصطناعي.
إرشادات تثبيت المورد
- يمكن العثور على إرشادات الإعداد التفصيلية على مدخل عملاء Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
- دون معرف مساحة العمل والمفتاح الأساسي. ستحتاج إلى إدخال هذه التفاصيل في صفحة تكوين نظام Darktrace.
تكوين Darktrace
- نفذ الخطوات التالية في صفحة تكوين نظام Darktrace:
- انتقل إلى صفحة تكوين النظام (القائمة > الرئيسية مسؤول > تكوين النظام)
- انتقل إلى تكوين الوحدات وانقر على بطاقة التكوين "Microsoft Sentinel"
- حدد "HTTPS (JSON)" واضغط على "جديد"
- املأ التفاصيل المطلوبة وحدد عوامل التصفية المناسبة
- انقر فوق "التحقق من الإعدادات التنبيه" لمحاولة المصادقة وإرسال تنبيه اختبار
- تشغيل استعلام عينة "البحث عن تنبيهات الاختبار" للتحقق من تلقي تنبيه الاختبار
الخطوات التالية
لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.