Derdack SIGNL4-Connector für Microsoft Sentinel

  • Artikel

Wenn kritische Systeme ausfallen oder Sicherheitsvorfälle auftreten, überbrückt SIGNL4 den letzten Abschnitt für Ihre Mitarbeiter, Ingenieure, IT-Administratoren und Mitarbeiter vor Ort. Es fügt Ihren Diensten, Systemen und Prozessen im Handumdrehen mobile Echtzeitwarnungen hinzu. SIGNL4 benachrichtigt durch permanentes mobiles Pushen, SMS-Text und Sprachanrufe mit Bestätigung, Nachverfolgung und Eskalation. Die integrierte Dienst- und Schichtplanung stellt sicher, dass die richtigen Personen zur richtigen Zeit alarmiert werden.

Weitere Informationen>

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen SIGNL4_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Derdack

Abfragebeispiele

Rufen Sie SIGNL4-Warnungs- und Statusinformationen ab.

SecurityIncident

| where Labels contains "SIGNL4"

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector wird hauptsächlich auf der SIGNL4-Seite konfiguriert. Ein Beschreibungsvideo finden Sie hier: Integrieren von SIGNL4 in Microsoft Sentinel.

SIGNL4-Connector: Der SIGNL4-Connector für Microsoft Sentinel, Azure Security Center und andere Azure Graph Security API-Anbieter bietet eine nahtlose 2-Wege-Integration in Ihre Azure-Sicherheitslösungen. Nachdem er Ihrem SIGNL4-Team hinzugefügt wurde, liest der Connector Sicherheitswarnungen aus Azure Graph Security-API vollständig automatisch und löst Warnungsbenachrichtigungen für Ihre Teammitglieder aus, die im Dienst sind. Außerdem wird der Warnungsstatus von SIGNL4 mit der Graph Security-API synchronisiert. Wenn Warnungen bestätigt oder geschlossen werden, wird dieser Status auch für die entsprechende Azure Graph Security-API-Warnung oder den entsprechenden Sicherheitsanbieter aktualisiert. Wie bereits erwähnt, verwendet der Connector hauptsächlich Azure Graph Security-API, aber für einige Sicherheitsanbieter wie Microsoft Sentinel verwendet er auch dedizierte REST-APIs aus den entsprechenden Azure-Lösungen.

Microsoft Sentinel-Funktionen

Microsoft Sentinel ist eine cloudnative SIEM-Lösung von Microsoft und ein Sicherheitswarnungsanbieter in der Azure Graph Security-API. Die mit der Graph Security-API verfügbare Ebene der Warnungsdetails ist für Microsoft Sentinel jedoch begrenzt. Der Connector kann daher Warnungen aus dem zugrunde liegenden Microsoft Sentinel Log Analytics-Arbeitsbereich um weitere Details (Suchergebnisse der Erkenntnisregel) erweitern. Dazu kommuniziert der Connector mit der Azure Log Analytics-REST-API und benötigt entsprechende Berechtigungen (siehe unten). Darüber hinaus kann die App auch den Status von Microsoft Sentinel-Vorfällen aktualisieren, wenn alle zugehörigen Sicherheitswarnungen z. B. ausgeführt oder behoben werden. Damit dies möglich ist, muss der Connector Mitglied der Gruppe „Microsoft Sentinel-Mitwirkende“ in Ihrem Azure-Abonnement sein. Automatisierte Bereitstellung in Azure Die Anmeldeinformationen, die für den Zugriff auf die zuvor angegebenen APIs erforderlich sind, werden von einem kleinen PowerShell-Skript generiert, das Sie unten herunterladen können. Das Skript führt folgende Aufgaben für Sie aus:

  • Meldet Sie bei Ihrem Azure-Abonnement an (melden Sie sich mit einem Administratorkonto an).
  • Erstellt eine neue Unternehmensanwendung für diesen Connector in Microsoft Entra ID, die auch als Dienstprinzipal bezeichnet wird
  • Erstellt eine neue Rolle in Azure IAM, die nur Azure Log Analytics-Arbeitsbereichen Lese-/Abfrageberechtigungen erteilt.
  • Verknüpft die Unternehmensanwendung mit dieser Benutzerrolle.
  • Verknüpft die Unternehmensanwendung mit der Rolle „Microsoft Sentinel-Mitwirkende“.
  • Gibt einige Daten aus, die Sie zum Konfigurieren der App benötigen (siehe unten).

Bereitstellungsverfahren

  1. Laden Sie das PowerShell-Bereitstellungsskript hier herunter.
  2. Überprüfen Sie das Skript sowie die Rollen und Berechtigungsbereiche, die für die neue App-Registrierung bereitgestellt werden. Wenn Sie den Connector nicht mit Microsoft Sentinel verwenden möchten, können Sie den gesamten Code zur Rollenerstellung und -zuweisung entfernen und nur verwenden, um die App-Registrierung (SPN) in Microsoft Entra ID zu erstellen.
  3. Führen Sie das Skript aus. Am Ende werden Informationen ausgegeben, die Sie in die Konfiguration der Connector-App eingeben müssen.
  4. Wählen Sie in Microsoft Entra ID „App-Registrierungen“ aus. Suchen Sie die App mit dem Namen „SIGNL4AzureSecurity“, und öffnen Sie die Details.
  5. Klicken Sie im linken Menü auf „API-Berechtigungen“. Klicken Sie dann auf „Berechtigung hinzufügen“.
  6. Klicken Sie auf dem Blatt, das geladen wird, unter „Microsoft-APIs“ auf die Kachel „Microsoft Graph“, und klicken Sie dann auf „App-Berechtigung“.
  7. Erweitern Sie in der angezeigten Tabelle „SecurityEvents“, und aktivieren Sie „SecurityEvents.Read.All“ und „SecurityEvents.ReadWrite.All“.
  8. Klicken Sie auf „Berechtigungen hinzufügen“.

Konfigurieren der SIGNL4-Connector-App

Geben Sie schließlich die IDs ein, die das Skript in der Connector-Konfiguration ausgegeben hat:

  • Azur-Mandanten-ID
  • Azure-Abonnement-ID
  • Client-ID (der Unternehmensanwendung)
  • Geheimer Clientschlüssel (der Unternehmensanwendung). Sobald die App aktiviert ist, beginnt sie mit dem Lesen Ihrer Azure Graph Security-API-Warnungen.

HINWEIS: Zunächst werden nur die Warnungen gelesen, die innerhalb der letzten 24 Stunden aufgetreten sind.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.