Dataminr Pulse Alerts Data الاتصال or (باستخدام Azure Functions) connector ل Microsoft Sentinel

  • مقالة

Dataminr Pulse Alerts Data الاتصال or يجلب ذكاءنا في الوقت الحقيقي الذي يتم تشغيله الذكاء الاصطناعي في Microsoft Sentinel للكشف عن التهديدات والاستجابة لها بشكل أسرع.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
التعليمات البرمجية لتطبيق وظائف Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
جدول (جداول) Log Analytics DataminrPulse_Alerts_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل دعم مسؤول البيانات

عينات الاستعلام

بيانات تنبيهات Dataminr Pulse لجميع أنواع التنبيه

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

المتطلبات الأساسية

للتكامل مع Dataminr Pulse Alerts Data الاتصال or (باستخدام Azure Functions) تأكد من أن لديك:

  • اشتراك Azure: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في معرف Microsoft Entra وتعيين دور المساهم في التطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات مسؤول البيانات المطلوبة:

أ. يجب أن يكون لدى المستخدمين معرف عميل Dataminr Pulse API صالح وسري لاستخدام موصل البيانات هذا.

ب. يجب تكوين واحد أو أكثر من Dataminr Pulse Watchlists في موقع Dataminr Pulse على الويب.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب DataminrPulse حيث يتم دفع السجلات عبر Dataminr RTAP وسيدخل السجلات في Microsoft Sentinel. علاوة على ذلك، سيقوم الموصل بإحضار البيانات التي تم استيعابها من جدول السجلات المخصصة وإنشاء مؤشرات التحليل الذكي للمخاطر في Microsoft Sentinel Threat Intelligence. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1- بيانات اعتماد معرف عميل Dataminr Pulse وسر العميل

  • احصل على معرف مستخدم Dataminr Pulse/كلمة المرور ومعرف عميل واجهة برمجة التطبيقات/البيانات السرية من Dataminr Customer Success Manager (CSM).

الخطوة 2- تكوين قوائم المشاهدة في مدخل Dataminr Pulse.

اتبع الخطوات الواردة في هذا القسم لتكوين قوائم المشاهدة في المدخل:

  1. تسجيل الدخول إلى موقع Dataminr Pulse على الويب.

  2. انقر فوق أيقونة ترس الإعدادات، وحدد إدارة القوائم.

  3. حدد نوع قائمة المشاهدة التي تريد إنشاؤها (Cyber و Topic و Company وما إلى ذلك) وانقر فوق الزر New List .

  4. أدخل اسما لقائمة المشاهدة الجديدة، وحدد لون تمييز لها، أو احتفظ باللون الافتراضي.

  5. عند الانتهاء من تكوين قائمة المشاهدة، انقر فوق حفظ لحفظها.

الخطوة 3 - خطوات تسجيل التطبيق للتطبيق في معرف Microsoft Entra

يتطلب هذا التكامل تسجيل تطبيق في مدخل Microsoft Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في معرف Microsoft Entra:

  1. قم بتسجيل الدخول إلى بوابة Azure.
  2. ابحث عن Microsoft Entra ID وحدده.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسمالعرض لتطبيقك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة لتسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ DataminrPulse Data الاتصال or.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 4 - إضافة سر عميل للتطبيق في معرف Microsoft Entra

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ DataminrPulse Data الاتصال or. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، حدد تطبيقك في App registrations.
  2. حدد Certificates and secrets > Client secrets > New client secret.
  3. إضافة وصف لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للسر أو حدد دورة حياة مخصصة. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجّل قيمة السر لاستخدامها في التعليمة البرمجية لتطبيق عميلك. لا تُعرض هذه القيمة السرية مجدداًبعد مغادرة هذه الصفحة مطلقاً. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ DataminrPulse Data الاتصال or.

رابط المرجع:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 5 - تعيين دور المساهم للتطبيق في معرف Microsoft Entra

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Microsoft Azure، انتقل إلى Resource Group وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر على التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 6 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل بيانات Dataminr Pulse Microsoft Sentinel، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل DataminrPulse.

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace ID Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Dataminr Pulse Microsoft Sentinel يدويا باستخدام Azure Functions (النشر عبر Visual Studio Code).

  1. توزيع Function App

إشعار

ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير وظائف Azure.

  1. قم بتنزيل ملف Azure Function App . استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. ابدأ تشغيل رمز VS. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر الزر Deploy to function app . إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في منطقة Azure: Functions ، اختر تسجيل الدخول إلى Azure إذا كنت قد سجلت الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدِّم المعلومات التالية في المطالبات:

    أ. تحديد المجلد: تحديد مجلد من مساحة عملك أو استعراض مجلد يتضمن تطبيق الدوال.

    ب. حدد الاشتراك: اختر الاشتراك الذي تريد استخدامه.

    جـ. حدد Create new Function App في Azure (لا تحدد الخيار Advanced)

    د. أدخل اسمًا فريدًا عالميًا لتطبيق الوظائف:اكتب اسمًا صالحًا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، DmPulseXXXXX).

    هـ. حدد وقت التشغيل: اختر Python 3.8 أو أعلى.

    و. حدد موقعًا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Microsoft Azure لتكوين Function App.

  1. تكوين Function App
  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
  3. أضف كل إعداد من إعدادات التطبيق التالية بشكل فردي، مع قيمها الخاصة (حساسة لحالة الأحرف): Function Name Workspace Workspace Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوة 7 - خطوات ما بعد النشر

  1. الحصول على نقطة نهاية تطبيق الوظائف
  1. انتقل إلى صفحة نظرة عامة على دالة Azure وانقر على "Functions" في الجزء الأيسر.
  2. انقر على الدالة المسماة "DataminrPulseAlertsHttpStarter".
  3. انتقل إلى "GetFunctionurl" وانسخ عنوان URL للدالة.
  4. استبدل {functionname} ب "DataminrPulseAlertsSentinelOrchestrator" في عنوان URL للدالة المنسوخة.
  1. لإضافة إعدادات التكامل في Dataminr RTAP باستخدام عنوان URL للوظيفة
  1. افتح أي أداة طلب API مثل Postman.
  2. انقر فوق '+' لإنشاء طلب جديد.
  3. حدد أسلوب طلب HTTP ك "POST".
  4. أدخل عنوان url مسبق الدفع في النقطة 1)، في جزء عنوان URL للطلب.
  5. في Body، حدد JSON الخام وقدم نص الطلب كما يلي(حساس لحالة الأحرف): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. بعد توفير جميع التفاصيل المطلوبة، انقر فوق إرسال.
  7. ستتلقى معرف إعداد تكامل في استجابة HTTP مع رمز الحالة 200.
  8. احفظ معرف التكامل للرجوع إليه في المستقبل.

لقد انتهينا الآن من إضافة إعدادات التكامل ل Dataminr RTAP. بمجرد أن يرسل Dataminr RTAP بيانات تنبيه، يتم تشغيل تطبيق الوظيفة ويجب أن تكون قادرا على رؤية بيانات التنبيهات من Dataminr Pulse إلى جدول مساحة عمل LogAnalytics المسمى "DataminrPulse_Alerts_CL".

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.