موصل Derdack SIGNL4 ل Microsoft Sentinel

  • مقالة

عند فشل الأنظمة الحرجة أو حدوث حوادث أمنية، يقوم SIGNL4 بربط "الميل الأخير" بالموظفين والمهندسين ومسؤولين تكنولوجيا المعلومات والعاملين في الميدان. ويضيف تنبيه الهاتف المحمول في الوقت الحقيقي إلى الخدمات والأنظمة والعمليات الخاصة بك في أي وقت من الأوقات. يقوم SIGNL4 بإعلام من خلال دفع الهاتف المحمول المستمر والرسائل النصية القصيرة والمكالمات الصوتية مع الاعتراف والتعقب والتصعيد. يضمن الجدولة المتكاملة للواجب والإزاحة تنبيه الأشخاص المناسبين في الوقت المناسب.

تعرَّف على المزيد >

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
جدول (جداول) Log Analytics SIGNL4_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل ديدراك

عينات الاستعلام

احصل على معلومات تنبيه وحالة SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

إرشادات تثبيت المورد

إشعار

يتم تكوين موصل البيانات هذا بشكل أساسي على جانب SIGNL4. يمكنك العثور على فيديو وصف هنا: دمج SIGNL4 مع Microsoft Sentinel.

SIGNL4 الاتصال or: يوفر موصل SIGNL4 ل Microsoft Sentinel ومركز أمان Azure وموفري واجهة برمجة تطبيقات الأمان Azure Graph الآخرين تكاملا سلسا في اتجاهين مع حلول أمان Azure. بمجرد إضافته إلى فريق SIGNL4 الخاص بك، سيقرأ الموصل تنبيهات الأمان من Azure Graph واجهة برمجة تطبيقات الأمان تلقائيا بالكامل ويشغل إعلامات التنبيه لأعضاء الفريق في العمل. كما سيقوم أيضا بمزامنة حالة التنبيه من SIGNL4 إلى واجهة برمجة تطبيقات الأمان Graph، بحيث إذا تم الاعتراف بالتنبيهات أو إغلاقها، يتم أيضا تحديث هذه الحالة على التنبيه واجهة برمجة تطبيقات الأمان Azure Graph أو موفر الأمان المقابل. كما ذكرنا، يستخدم الموصل بشكل أساسي Azure Graph واجهة برمجة تطبيقات الأمان، ولكن بالنسبة لبعض موفري الأمان، مثل Microsoft Sentinel، فإنه يستخدم أيضا واجهات برمجة تطبيقات REST المخصصة من حلول Azure.

ميزات Microsoft Sentinel

Microsoft Sentinel هو حل SIEM أصلي على السحابة من Microsoft وموفر تنبيه أمان في Azure Graph واجهة برمجة تطبيقات الأمان. ومع ذلك، فإن مستوى تفاصيل التنبيه المتوفرة مع واجهة برمجة تطبيقات الأمان Graph محدود ل Microsoft Sentinel. لذلك يمكن للموصل زيادة التنبيهات بمزيد من التفاصيل (نتائج البحث في قاعدة التحليلات)، من مساحة عمل Microsoft Sentinel Log Analytics الأساسية. لكي تتمكن من القيام بذلك، يتصل الموصل ب Azure Log Analytics REST API ويحتاج إلى أذونات وفقا (انظر أدناه). علاوة على ذلك، يمكن للتطبيق أيضا تحديث حالة حوادث Microsoft Sentinel، عندما تكون جميع تنبيهات الأمان ذات الصلة قيد التقدم أو يتم حلها على سبيل المثال. لكي تتمكن من القيام بذلك، يجب أن يكون الموصل عضوا في مجموعة "مساهمي Microsoft Sentinel" في اشتراك Azure الخاص بك. يتم إنشاء النشر التلقائي في Azure بيانات الاعتماد المطلوبة للوصول إلى واجهات برمجة التطبيقات المذكورة مسبقا بواسطة برنامج نصي صغير PowerShell يمكنك تنزيله أدناه. ينفذ البرنامج النصي المهام التالية لك:

  • تسجيل دخولك إلى اشتراك Azure (يرجى تسجيل الدخول باستخدام حساب مسؤول)
  • إنشاء تطبيق مؤسسة جديد لهذا الموصل في معرف Microsoft Entra الخاص بك، ويشار إليه أيضا باسم كيان الخدمة
  • إنشاء دور جديد في Azure IAM الذي يمنح إذن القراءة/الاستعلام لمساحات عمل Azure Log Analytics فقط.
  • ضم تطبيق المؤسسة إلى دور المستخدم هذا
  • ضم تطبيق المؤسسة إلى دور "مساهمي Microsoft Sentinel"
  • إخراج بعض البيانات التي تحتاجها لتكوين التطبيق (انظر أدناه)

إجراء التوزيع

  1. قم بتنزيل البرنامج النصي لتوزيع PowerShell من هنا.
  2. راجع البرنامج النصي والأدوار ونطاقات الأذونات التي ينشرها لتسجيل التطبيق الجديد. إذا كنت لا تريد استخدام الموصل مع Microsoft Sentinel، فيمكنك إزالة كل التعليمات البرمجية لإنشاء الدور وتعيين الدور واستخدامه فقط لإنشاء تسجيل التطبيق (SPN) في معرف Microsoft Entra.
  3. قم بتشغيل البرنامج النصي في النهاية، يقوم إخراج المعلومات التي تحتاج إلى إدخالها في تكوين تطبيق الموصل.
  4. في Microsoft Entra ID، انقر فوق "App Registrations". ابحث عن التطبيق باسم "SIGNL4AzureSecurity" وافتح تفاصيله
  5. في جزء القائمة الأيسر، انقر فوق "أذونات واجهة برمجة التطبيقات". ثم انقر فوق "إضافة إذن".
  6. على الجزء الذي يتم تحميله، ضمن "واجهات برمجة تطبيقات Microsoft" انقر على لوحة "Microsoft Graph"، ثم انقر فوق "إذن التطبيق".
  7. في الجدول المعروض، قم بتوسيع "SecurityEvents" وتحقق من "SecurityEvents.Read.All" و"SecurityEvents.ReadWrite.All".
  8. انقر فوق "إضافة أذونات".

تكوين تطبيق موصل SIGNL4

وأخيرا، أدخل المعرفات، التي تم إخراج البرنامج النصي في تكوين الموصل:

  • معرف مستأجر Azure
  • معرف اشتراك Azure Subscription
  • معرف العميل (لتطبيق المؤسسة)
  • سر العميل (لتطبيق المؤسسة) بمجرد تمكين التطبيق، سيبدأ في قراءة تنبيهات azure Graph واجهة برمجة تطبيقات الأمان.

ملاحظة: سيقرأ في البداية التنبيهات التي حدثت خلال ال 24 ساعة الماضية فقط.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.