موصل Digital Shadows Searchlight (باستخدام Azure Functions) ل Microsoft Sentinel

  • مقالة

يوفر موصل بيانات الظلال الرقمية استيعاب الحوادث والتنبيهات من Digital Shadows Searchlight إلى Microsoft Sentinel باستخدام واجهة برمجة تطبيقات REST. سيوفر الموصل معلومات الحوادث والتنبيهات بحيث يساعد على فحص المخاطر والتهديدات الأمنية المحتملة وتشخيصها وتحليلها.

هذا محتوى تم إنشاؤه تلقائيا. للحصول على تغييرات، اتصل بموفر الحل.

سمات الاتصال أو

سمة الموصل ‏‏الوصف
إعدادات التطبيق DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
الأيام التاريخية
DigitalShadowsURL
ClassificationFilterOperation
تصنيفات عالية المتغيرية
FUNCTION_NAME
logAnalyticsUri (اختياري)(إضافة أي إعدادات أخرى مطلوبة من قبل تطبيق الوظائف)تعيين DigitalShadowsURL القيمة إلى: https://api.searchlight.app/v1تعيين HighVariabilityClassifications القيمة إلى: exposed-credential,marked-documentتعيين ClassificationFilterOperation القيمة إلى: exclude لاستبعاد تطبيق الوظائف أو include لتضمين تطبيق الوظائف
التعليمات البرمجية لتطبيق وظائف Azure https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
جدول (جداول) Log Analytics DigitalShadows_CL
دعم قواعد جمع البيانات غير مدعوم حاليًا
مدعومة من قبل الظلال الرقمية

عينات الاستعلام

جميع حوادث الظلال الرقمية والتنبيهات التي تم ترتيبها حسب الوقت الذي تم رفعه مؤخرا

DigitalShadows_CL 
| order by raised_t desc

المتطلبات الأساسية

للتكامل مع Digital Shadows Searchlight (باستخدام Azure Functions) تأكد من أن لديك:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى Azure Functions لإنشاء تطبيق دالة. راجع الوثائق لمعرفة المزيد حول Azure Functions.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب معرف حساب الظلال الرقمية والسر والمفتاح . راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

إرشادات تثبيت المورد

إشعار

يستخدم هذا الموصل Azure Functions للاتصال ب "Digital Shadows Searchlight" لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف استيعاب بيانات إضافية. تحقق من صفحة تسعير Azure Functions للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بشكل آمن أو الرمز المميز (الرموز المميزة) في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات "ضوء بحث الظلال الرقمية"

يجب أن يوفر الموفر أو يرتبط بخطوات مفصلة لتكوين نقطة نهاية واجهة برمجة تطبيقات "الظلال الرقمية Searchlight" بحيث يمكن لوظيفة Azure المصادقة عليها بنجاح، والحصول على مفتاح التخويل أو الرمز المميز، وسحب سجلات الجهاز إلى Microsoft Sentinel.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

هام: قبل نشر موصل "ضوء البحث عن الظلال الرقمية"، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي)، بالإضافة إلى مفتاح (مفاتيح) تخويل واجهة برمجة تطبيقات "الظلال الرقمية" أو الرمز المميز، المتوفرة بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل "ضوء البحث عن الظلال الرقمية".

  1. انقر فوق الزر Deploy to Azure أدناه.

    النشر على Azure

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم مستخدم واجهة برمجة التطبيقات وكلمة مرور واجهة برمجة التطبيقات و/أو الحقول المطلوبة الأخرى.

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault لمزيد من التفاصيل. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل "ضوء البحث عن الظلال الرقمية" يدويا باستخدام Azure Functions.

  1. إنشاء Function App

  2. من مدخل Microsoft Azure، انتقل إلى Function App.

  3. انقر فوق + إنشاء في الأعلى.

  4. في علامة التبويب Basics ، تأكد من تعيين مكدس وقت التشغيل إلى python 3.8.

  5. في علامة التبويب Hosting، تأكد من تعيين نوع الخطة إلى "Consumption (Serverless)". 5.select Storage account

  6. "إضافة التكوينات المطلوبة الأخرى".

  7. "قم بإجراء تغييرات تكوين أخرى مفضلة"، إذا لزم الأمر، ثم انقر فوق إنشاء.

  8. استيراد التعليمات البرمجية لتطبيق الوظائف (النشر البريدي)

  9. تثبيت Azure CLI

  10. من نوع az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> المحطة الطرفية واضغط على enter. ResourceGroup قم بتعيين القيمة إلى: اسم مجموعة الموارد الخاصة بك. FunctionApp قم بتعيين القيمة إلى: اسم تطبيق الوظائف الذي تم إنشاؤه حديثا. Zip File قم بتعيين القيمة إلى: digitalshadowsConnector.zip(المسار إلى ملف zip الخاص بك). ملاحظة:- قم بتنزيل الملف المضغوط من الارتباط - التعليمة البرمجية لتطبيق الوظائف

  11. تكوين Function App

  12. في شاشة Function App، انقر فوق Function App name وحدد Configuration.

  13. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.

  14. إضافة كل من إعدادات التطبيق 'x (عدد)' التالية بشكل فردي، ضمن Name، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف) ضمن Value: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (اختياري) (إضافة أي إعدادات أخرى مطلوبة من قبل تطبيق الوظائف) قم بتعيين DigitalShadowsURL القيمة إلى: تعيين HighVariabilityClassifications القيمة إلى: https://api.searchlight.app/v1exposed-credential,marked-document تعيين ClassificationFilterOperation القيمة إلى: exclude لاستبعاد تطبيق الوظائف أو include لتضمين تطبيق الوظائف

ملاحظة: إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Azure Key Vault للحصول على مزيد من التفاصيل.

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوات التالية

لمزيد من المعلومات، انتقل إلى الحل ذي الصلة في Azure Marketplace.