Connecteur d’API REST Darktrace Microsoft Sentinel

  • Article

Le connecteur d’API REST Darktrace envoie des événements en temps réel de Darktrace à Microsoft Sentinel et est conçu pour être utilisé avec la solution Darktrace pour Sentinel. Le connecteur écrit les journaux dans une table de journal personnalisée intitulée « darktrace_model_alerts_CL » ; les violations de modèles, les incidents d’analyste d’IA, les alertes système et les alertes e-mail peuvent être ingérés. Des filtres supplémentaires peuvent être configurés dans la page Configuration du système Darktrace. Les données sont envoyées à Sentinel à partir des maîtres Darktrace.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics darktrace_model_alerts_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Darktrace

Exemples de requête

Rechercher les alertes de test

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Renvoyer les principales violations du modèle Darktrace

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Retourner les incidents d’analyste IA

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Retourner les alertes d’intégrité du système

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Retourner les journaux d’e-mails pour un expéditeur externe spécifique (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Prérequis

Pour intégrer le connecteur d’API REST Darktrace pour Microsoft Sentinel, vérifiez que vous avez :

  • Configuration requise pour Darktrace : pour utiliser ce connecteur de données, un maître Darktrace exécutant v5.2+ est requis. Les données sont envoyées à l’API collecteur de données HTTP Azure Monitor par le biais de HTTPS à partir des maîtres Darktrace. Par conséquent, la connectivité sortante du maître Darktrace vers l’API REST Microsoft Sentinel est requise.
  • Filtrer les données Darktrace : pendant la configuration, il est possible de configurer un filtrage supplémentaire sur la page Configuration du système Darktrace pour limiter la quantité ou les types de données envoyées.
  • Essayez la solution Darktrace pour Sentinel : vous pouvez tirer le meilleur parti de ce connecteur en installant la solution Darktrace pour Microsoft Sentinel. Cela fournit des classeurs permettant de visualiser les données d’alerte et les règles d’analyse afin de créer automatiquement des alertes et des incidents à partir de violations de modèle Darktrace et d’incidents d’analyste IA.

Instructions d’installation du fournisseur

  1. Vous trouverez des instructions de configuration détaillées sur le portail client Darktrace : https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Prenez note de l’ID de l’espace de travail et de la clé primaire. Vous devez entrer ces détails dans la page Configuration système de Darktrace.

Configuration de Darktrace

  1. Effectuez les étapes suivantes dans la page Configuration système de Darktrace :
  2. Accédez à la page Configuration système (Menu principal > Administration > Configuration système)
  3. Accédez à la configuration des modules et cliquez sur la carte de configuration « Microsoft Sentinel »
  4. Sélectionnez « HTTPS (JSON) », puis appuyez sur « Nouveau »
  5. Renseignez les détails requis et sélectionnez les filtres appropriés
  6. Cliquez sur « Vérifier les paramètres d’alerte » pour tenter l’authentification et envoyer une alerte de test
  7. Exécutez un exemple de requête « Rechercher les alertes de test » pour vérifier que l’alerte de test a été reçue

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.