Digital Shadows Searchlight-Connector (mittels Azure Functions) für Microsoft Sentinel

  • Artikel

Der Digital Shadows-Datenconnector ermöglicht die Erfassung der Incidents und Warnungen aus Digital Shadows Searchlight in Microsoft Sentinel mithilfe der REST-API. Der Connector stellt Informationen zu Incidents und Warnungen bereit, sodass diese bei der Untersuchung, Diagnose und Analyse potenzieller Sicherheitsrisiken und Bedrohungen genutzt werden können.

Connectorattribute

Connectorattribut BESCHREIBUNG
Anwendungseinstellungen DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (optional) (alle anderen Einstellungen hinzufügen, die für die Funktions-App erforderlich sind) Legen Sie den DigitalShadowsURL-Wert auf https://api.searchlight.app/v1 fest. Legen Sie den HighVariabilityClassifications-Wert auf exposed-credential,marked-document fest. Legen Sie den ClassificationFilterOperation-Wert zum Ausschließen der Funktions-App auf exclude oder zum Einschließen der Funktions-App auf include fest.
Azure-Funktions-App-Code https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Log Analytics-Tabellen DigitalShadows_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Digital Shadows

Abfragebeispiele

Alle Digital Shadows-Incidents und -Warnungen, geordnet nach Auslösungszeitpunkt

DigitalShadows_CL 
| order by raised_t desc

Voraussetzungen

Stellen Sie für die Integration in Digital Shadows Searchlight (mittels Azure Functions) sicher, dass Sie über Folgendes verfügen:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • Anmeldeinformationen/Berechtigungen für REST-API: Konto-ID, -Geheimnis und -Schlüssel für Digital Shadows sind erforderlich. Weitere Informationen finden Sie in der Dokumentation zur API: https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit Digital Shadows Searchlight her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die Digital Shadows Searchlight-API

Der Anbieter sollte detaillierte Schritte zum Konfigurieren des Endpunkts für die Digital Shadows Searchlight-API bereitstellen oder verknüpfen, damit die Azure-Funktion sich dort erfolgreich authentifizieren, den Autorisierungsschlüssel oder das Autorisierungstoken abrufen und die Protokolle der Appliance in Microsoft Sentinel pullen kann.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

Wichtig

Vor der Bereitstellung des „Digital Shadows Searchlight“-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (diese können wie folgt kopiert werden) sowie den/die Autorisierungsschlüssel bzw. das Token der „Digital Shadows Searchlight“-API zur Hand haben.

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode zur automatisierten Bereitstellung des Digital Shadows Searchlight-Connectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    Deploy To Azure

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Speicherort aus.

  3. Geben Sie die Arbeitsbereichs-ID, den Arbeitsbereichsschlüssel, den API-Benutzernamen, das API-Kennwort sowie ggf. andere erforderliche Informationen ein.

    Hinweis

    Wenn Sie für einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgende Schrittanleitung, um den Digital Shadows Searchlight-Connector manuell mit Azure Functions bereitzustellen.

  1. Erstellen einer Funktions-App

    1. Navigieren Sie im Azure-Portal zu Funktions-App.
    2. Klicken Sie oben auf + Erstellen.
    3. Stellen Sie auf der Registerkarte Grundlagen sicher, dass der Runtimestapel auf Python 3.8 festgelegt ist.
    4. Stellen Sie auf der Registerkarte Hosting sicher, dass der Plantyp auf Verbrauch (serverlos) festgelegt ist. 5. Speicherkonto auswählen
    5. Fügen Sie weitere erforderliche Konfigurationen hinzu.
    6. Nehmen Sie bei Bedarf weitere Konfigurationsänderungen vor, und klicken Sie dann auf Erstellen.

  2. Importieren von Funktions-App-Code (Zip-Bereitstellung)

    1. Installieren der Azure-Befehlszeilenschnittstelle
    2. Geben Sie Terminaltyp az functionapp deployment source config-zip -g ResourceGroup -n FunctionApp --src Zip File ein, und drücken Sie die EINGABETASTE. Legen Sie den ResourceGroup-Wert auf Ihren Ressourcengruppennamen fest. Legen Sie den FunctionApp-Wert auf den Namen Ihrer neu erstellten Funktions-App fest. Legen Sie den Zip File-Wert auf digitalshadowsConnector.zip (Pfad zu Ihrer ZIP-Datei) fest. Hinweis: – ZIP-Datei über den Link herunterladen – Funktions-App-Code

  3. Konfigurieren Sie die Funktions-App.

    1. Klicken Sie auf dem Bildschirm „Funktions-App“ auf den Namen der Funktions-App, und wählen Sie Konfiguration aus.
    2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
    3. Fügen Sie jede der folgenden „x (Anzahl von)“-Anwendungseinstellungen einzeln hinzu, unter Name, mit den entsprechenden Zeichenfolgenwerten (Groß-/Kleinschreibung) unter Wert: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (optional) (fügen Sie alle anderen Einstellungen hinzu, die für die Funktions-App erforderlich sind)
      • Legen Sie den DigitalShadowsURL-Wert auf https://api.searchlight.app/v1 fest.
      • Legen Sie den HighVariabilityClassifications-Wert auf exposed-credential,marked-document fest.
      • Legen Sie den ClassificationFilterOperation-Wert auf exclude fest, um die Funktions-App auszuschließen, oder auf include, um die Funktions-App einzuschließen

      Hinweis

      Wenn Sie für einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

      • Verwenden Sie logAnalyticsUri, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://CustomerId.ods.opinsights.azure.us.

  4. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.