AI Analyst Darktrace-Connector für Microsoft Sentinel
Mit dem Darktrace-Connector können Benutzer Darktrace-Modellverstöße in Echtzeit an Azure Sentinel melden. So können benutzerdefinierte Dashboards, Arbeitsmappen, Notebooks und benutzerdefinierte Warnungen erstellt werden, um die Untersuchung zu verbessern. Der verbesserte Einblick in Darktrace-Protokolle in Microsoft Sentinel ermöglicht die Überwachung und Entschärfung von Sicherheitsbedrohungen.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | CommonSecurityLog (Darktrace) |
Unterstützung für Datensammlungsregeln | Transformations-DCR des Arbeitsbereichs |
Unterstützt von | Darktrace |
Abfragebeispiele
Letzte 10 Datenpannen
CommonSecurityLog
| where DeviceVendor == "Darktrace"
| order by TimeGenerated desc
| limit 10
Installationsanweisungen des Anbieters
- Konfiguration des Linux-Syslog-Agents
Installieren und konfigurieren Sie den Linux-Agent, damit er Ihre Common Event Format (CEF)-Syslog-Nachrichten sammelt und an Microsoft Sentinel weiterleitet.
Beachten Sie, dass die Daten aus allen Regionen im ausgewählten Arbeitsbereich gespeichert werden
1.1 Auswählen oder Erstellen eines Linux-Computers
Wählen Sie einen Linux-Computer aus, oder erstellen Sie einen, den Microsoft Sentinel als Proxy zwischen Ihrer Sicherheitslösung und Microsoft Sentinel verwenden soll. Dieser Computer kann sich in Ihrer lokalen Umgebung, in Azure oder in anderen Clouds befinden.
1.2 Installieren des CEF-Collectors auf dem Linux-Computer
Installieren Sie den Microsoft Monitoring Agent auf Ihrem Linux-Computer, und konfigurieren Sie den Computer so, dass er am erforderlichen Port lauscht und Nachrichten an Ihren Microsoft Sentinel-Arbeitsbereich weiterleitet. Der CEF-Sammler sammelt CEF-Nachrichten an TCP-Port 514.
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf dem Computer über Python verfügen: python -version.
- Sie müssen über erhöhte Berechtigungen (sudo) auf dem Computer verfügen.
Führen Sie den folgenden Befehl aus, um den CEF-Collector zu installieren und anzuwenden:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Weiterleiten von CEF-Protokollen (Common Event Format) an den Syslog-Agent
Konfigurieren Sie Darktrace so, dass Syslog-Nachrichten im CEF-Format über den Syslog-Agent an Ihren Azure-Arbeitsbereich weitergeleitet werden.
Navigieren Sie in Darktrace Threat Visualizer im Hauptmenü unter Admin zur Seite System Config (Systemkonfiguration).
Wählen Sie im Menü auf der linken Seite „Module“ und dann „Microsoft Sentinel“ aus den verfügbaren Workflowintegrationen aus.\n 3) Ein Konfigurationsfenster wird geöffnet. Suchen Sie Microsoft Sentinel Syslog CEF, und klicken Sie auf Neu, um die Konfigurationseinstellungen offenzulegen, sofern sie nicht bereits verfügbar gemacht wurden.
Geben Sie im Feld Server configuration (Serverkonfiguration) den Speicherort der Protokollweiterleitung ein, und ändern Sie optional den Kommunikationsport. Stellen Sie sicher, dass der Port auf 514 festgelegt ist und von allen zwischengeschalteten Firewalls zugelassen wird.
Konfigurieren Sie ggf. Warnungsschwellenwerte, Zeitoffsets oder sonstigen Einstellungen.
Überprüfen Sie alle zusätzlichen Konfigurationsoptionen, die Sie möglicherweise aktivieren möchten, um die Syslog-Syntax anzupassen.
Aktivieren Sie Warnungen senden, und speichern Sie Ihre Änderungen.
- Überprüfen der Verbindung
Folgen Sie den Anleitungen zum Überprüfen Ihrer Konnektivität:
Öffnen Sie Log Analytics, um mithilfe des CommonSecurityLog-Schemas zu überprüfen, ob die Protokolle empfangen werden.
Es kann ungefähr 20 Minuten dauern, bis die Verbindung Daten in Ihren Arbeitsbereich streamt.
Wenn die Protokolle nicht empfangen werden, führen Sie das folgende Skript für Konnektivitätsprüfung aus:
- Vergewissern Sie sich mithilfe des folgenden Befehls, dass Sie auf Ihrem Computer über Python verfügen: python -version.
- Sie müssen auf Ihrem Computer über erhöhte Berechtigungen (sudo) verfügen
Führen Sie den folgenden Befehl aus, um Ihre Konnektivität zu überprüfen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sichern Ihres Computers
Stellen Sie sicher, dass Sie die Sicherheit des Computers gemäß der Sicherheitsrichtlinie Ihrer Organisation konfigurieren.