Dataminr Pulse Alerts-Datenconnector (über Azure Functions) für Microsoft Sentinel

  • Artikel

Mit dem Dataminr Pulse Alerts-Datenconnector steht KI-gestützte Echtzeitintelligenz in Microsoft Sentinel zur schnelleren Erkennung und Reaktion auf Bedrohungen zur Verfügung.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Azure-Funktions-App-Code https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Log Analytics-Tabellen DataminrPulse_Alerts_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Dataminr-Support

Abfragebeispiele

Dataminr Pulse Alerts-Daten für alle Warnungstypen (alertTypes)

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in den Dataminr Pulse Alerts-Datenconnector (über Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Azure-Abonnement: Ein Azure-Abonnement mit Besitzerrolle ist erforderlich, um eine Anwendung in Microsoft Entra ID zu registrieren und die Rolle des Mitwirkenden der App in der Ressourcengruppe zuzuweisen.
  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Erforderliche Dataminr-Anmeldeinformationen/-Berechtigungen:

a. Benutzer müssen über eine gültige Client-ID und ein gültiges Geheimnis für die Dataminr Pulse-API verfügen, um diesen Datenconnector verwenden zu können.

b. Mindestens eine Dataminr Pulse-Watchlist muss auf der Dataminr Pulse-Website konfiguriert werden.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verwendet Azure Functions, um eine Verbindung mit der DataminrPulse-Instanz herzustellen, in der Protokolle über die Dataminr-RTAP übertragen werden. Protokolle werden in Microsoft Sentinel erfasst. Darüber hinaus ruft der Connector die erfassten Daten aus der Tabelle der benutzerdefinierten Protokolle ab und erstellt Threat Intelligence-Indikatoren in Microsoft Sentinel Threat Intelligence. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Anmeldeinformationen für die Client-ID und den geheimen Clientschlüssel von Dataminr Pulse

  • Rufen Sie die Benutzer-ID/das Kennwort für Dataminr Pulse sowie die Client-ID/das Geheimnis für die API aus Dataminr Customer Success Manager (CSM) ab.

SCHRITT 2: Konfigurieren von Watchlists im Dataminr Pulse-Portal

Führen Sie die Schritte in diesem Abschnitt aus, um Watchlists im Portal zu konfigurieren:

  1. Melden Sie sich auf der Website von Dataminr Pulse an.

  2. Klicken Sie auf das Zahnradsymbol für Einstellungen, und wählen Sie Manage Lists aus.

  3. Wählen Sie den Typ der Watchlist aus, die Sie erstellen möchten (Cyber, Topic, Company usw.), und klicken Sie auf die Schaltfläche New List.

  4. Geben Sie einen Namen für Ihre neue Watchlist an, und wählen Sie eine Hervorhebungsfarbe dafür aus, oder behalten Sie die Standardfarbe bei.

  5. Wenn Sie mit der Konfiguration der Watchlist fertig sind, klicken Sie auf Speichern, um sie zu speichern.

SCHRITT 3: App-Registrierungsschritte für die Anwendung in Microsoft Entra ID

Für diese Integration ist eine App-Registrierung im Azure-Portal erforderlich. Führen Sie die Schritte in diesem Abschnitt aus, um eine neue Anwendung in Microsoft Entra ID zu erstellen:

  1. Melden Sie sich beim Azure-Portal an.
  2. Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
  3. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.
  4. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
  5. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
  6. Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt. Hier werden die Anwendungs-ID (Client) und die Mandanten-ID angezeigt. Die Client-ID und die Mandanten-ID sind als Konfigurationsparameter für die Ausführung des DataminrPulse-Datenconnectors erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app

SCHRITT 4: Hinzufügen eines geheimen Clientschlüssels für die Anwendung in Microsoft Entra ID

Ein geheimer Clientschlüssel wird manchmal auch als Anwendungskennwort bezeichnet. Es handelt sich um einen Zeichenfolgenwert, der für die Ausführung des DataminrPulse-Datenconnectors erforderlich ist. Führen Sie die Schritte in diesem Abschnitt aus, um einen neuen geheimen Clientschlüssel zu erstellen:

  1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
  2. Wählen Sie Zertifikate und Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel aus.
  3. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
  4. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Der Grenzwert beträgt 24 Monate.
  5. Wählen Sie Hinzufügen aus.
  6. Notieren Sie sich den Wert des Geheimnisses, das in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Der Geheimniswert ist als Konfigurationsparameter für die Ausführung des DataminrPulse-Datenconnectors erforderlich.

Referenzlink:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

SCHRITT 5: Zuweisen der Rolle „Mitwirkender“ zur Anwendung in Microsoft Entra ID

Um die Rolle zuzuweisen, führen Sie die Schritte in diesem Abschnitt aus:

  1. Wechseln Sie im Azure-Portal zu Ressourcengruppen, und wählen Sie Ihre Ressourcengruppe aus.
  2. Wechseln Sie im linken Bereich zu Zugriffssteuerung (IAM).
  3. Klicken Sie auf Hinzufügen, und wählen Sie anschließend Rollenzuweisung hinzufügen aus.
  4. Wählen Sie Mitwirkenden als Rolle aus, und klicken Sie auf „Weiter“.
  5. Wählen Sie unter Zugriff zuweisen zu die Option User, group, or service principal aus.
  6. Klicken Sie auf Mitglieder hinzufügen, geben Sie den von Ihnen erstellten App-Namen ein, und wählen Sie ihn aus.
  7. Klicken Sie nun auf Überprüfen + zuweisen und dann erneut auf Überprüfen + zuweisen.

Referenzlink:/azure/role-based-access-control/role-assignments-portal

SCHRITT 6: Auswählen EINER der beiden folgenden Bereitstellungsoptionen, um den Connector und die zugeordnete Azure-Funktion bereitzustellen

WICHTIG: Halten Sie vor der Bereitstellung des Microsoft Sentinel-Datenconnectors für Dataminr Pulse die Arbeitsbereichs-ID und den Primärschlüssel für den Arbeitsbereich bereit (können im Folgenden kopiert werden).

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des DataminrPulse-Connectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Geben Sie die folgenden Informationen ein: Funktionsname Arbeitsbereichs-ID Arbeitsbereichsschlüssel AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den Dataminr Pulse-Microsoft Sentinel-Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

  1. Bereitstellen einer Funktions-App

Hinweis

Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

  1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

  2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

  3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

  4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

  5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

    a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

    b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

    c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

    d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (Beispiel: DmPulseXXXXX)

    e. Runtime auswählen: Wählen Sie mindestens „Python 3.8“ aus.

    f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

  6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

  7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

  1. Konfigurieren Sie die Funktions-App.
  1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
  2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
  3. Fügen Sie die folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Werten hinzu (unter Beachtung der Groß-/Kleinschreibung): Funktionsname Arbeitsbereichs-ID Arbeitsbereichsschlüssel AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (optional)
  • Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
  1. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

SCHRITT 7: Schritte nach der Bereitstellung

  1. Abrufen des Funktions-App-Endpunkts
  1. Wechseln Sie zur Übersichtsseite der Azure-Funktion, und klicken Sie auf dem linken Blatt auf Funktionen.
  2. Klicken Sie auf die Funktion namens DataminrPulseAlertsHttpStarter.
  3. Wechseln Sie zu GetFunctionurl, und kopieren Sie die Funktions-URL.
  4. Ersetzen Sie in der kopierten Funktions-URL {functionname} durch DataminrPulseAlertsSentinelOrchestrator.
  1. Hinzufügen von Integrationseinstellungen auf der Dataminr-RTAP mithilfe der Funktions-URL
  1. Öffnen Sie ein beliebiges API-Anforderungstool wie Postman.
  2. Erstellen Sie über das Symbol + eine neue Anforderung.
  3. Wählen Sie als HTTP-Anforderungsmethode POST aus.
  4. Geben Sie die URL, die Sie unter Punkt 1) vorbereitet haben, in den Teil der Anforderungs-URL ein.
  5. Wählen Sie im Textkörper den unformatierten JSON-Code aus, und geben Sie den Anforderungstext wie folgt an (unter Beachtung der Groß-/Kleinschreibung): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Klicken Sie nach der Angabe aller erforderlichen Details auf Senden.
  7. Sie erhalten eine Integrationseinstellungs-ID in der HTTP-Antwort mit dem Statuscode 200.
  8. Speichern Sie Integrations-ID zur späteren Referenz.

Jetzt sind Sie mit dem Hinzufügen von Integrationseinstellungen für die Dataminr-RTAP fertig. Sobald die Dataminr-RTAP Warnungsdaten sendet, wird die Funktions-App ausgelöst. Sie sollten in der Lage sein, die Warnungsdaten aus Dataminr Pulse in der Log Analytics-Arbeitsbereichstabelle namens „DataminrPulse_Alerts_CL“ anzuzeigen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.