Connecteur Dataminr Pulse Alerts Data Connector (à l’aide d’Azure Functions) pour Microsoft Sentinel

  • Article

Dataminr Pulse Alerts Data Connector associe notre intelligence en temps réel basée sur l’IA à Microsoft Sentinel pour accélérer la détection et la réponse aux menaces.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Code d’application de fonction Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Table(s) Log Analytics DataminrPulse_Alerts_CL
Support des Règles de collecte de données Non prise en charge pour le moment
Pris en charge par Prise en charge de Dataminr

Exemples de requête

Dataminr Pulse Alerts Data pour tout les alertTypes

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Prérequis

Pour l’intégration à Dataminr Pulse Alerts Data Connector (à l’aide d’Azure Functions), vérifiez que vous disposez des éléments suivants :

  • Abonnement à Azure : un abonnement à Azure avec un rôle de propriétaire est requis pour enregistrer une application dans Microsoft Entra ID et attribuer un rôle de contributeur à une application dans un groupe de ressources.
  • Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Veuillez consulter la documentation si vous souhaitez en savoir plus sur Azure Functions.
  • Informations d’identification/autorisations Dataminr requises :

a. Les utilisateurs doivent avoir un ID client d’API Dataminr Pulse et une clé secrète valides pour utiliser ce connecteur de données.

b. Une ou plusieurs Watchlists Dataminr Pulse doivent être configurées sur le site web Dataminr Pulse.

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à DataminrPulse, y envoyer les journaux via Dataminr RTAP et assurer l’ingestion des journaux dans Microsoft Sentinel. En outre, le connecteur récupère les données ingérées à partir du tableau de journaux personnalisés et crée des indicateurs de veille des menaces dans Microsoft Sentinel Veille des menaces. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 - Informations d’identification pour l’ID client et la clé secrète client Dataminr Pulse

  • Obtenez l’identifiant utilisateur/mot de passe Dataminr Pulse et l’ID client/la clé secrète de l’API à partir de votre CSM Dataminr.

ÉTAPE 2 - Configurer les Watchlists dans le portail Dataminr Pulse.

Suivez les étapes décrites dans cette section pour configurer les Watchlists dans le portail :

  1. Se connecter au site web Dataminr Pulse.

  2. Cliquez sur l’icône d’engrenage des paramètres, puis sélectionnez Gérer les listes.

  3. Sélectionnez le type de Watchlist que vous souhaitez créer (Cyber, Sujet, Entreprise, etc.), puis cliquez sur le bouton Nouvelle liste.

  4. Indiquez un nom pour votre nouvelle Watchlist, puis sélectionnez une couleur de surbrillance pour celle-ci ou conservez la couleur par défaut.

  5. Lorsque vous avez terminé de configurer la Watchlist, cliquez sur Enregistrer pour l’enregistrer.

ÉTAPE 3 - Étapes d’enregistrement d’une application pour une application dans Microsoft Entra ID

Cette intégration nécessite l’enregistrement de l’application dans le portail Microsoft Azure. Suivez les étapes de cette section pour créer une nouvelle application dans Microsoft Entra ID :

  1. Connectez-vous au portail Azure.
  2. Recherchez et sélectionnez Microsoft Entra ID.
  3. Sous Gérer, sélectionnez Inscriptions d’applications> Nouvelle inscription.
  4. Entrez un nom d’affichage pour votre application.
  5. Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.
  6. Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Copiez l'ID d'application (client) et l'ID de locataire. L’ID client et l’ID de locataire sont des paramètres de configuration requis pour l’exécution de DataminrPulse Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app

ÉTAPE 4 - Ajouter une clé secrète client pour l’application dans Microsoft Entra ID

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne requise pour l’exécution de DataminrPulse Data Connector. Suivez les étapes de cette section pour créer une nouvelle clé secrète client :

  1. Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
  2. Sélectionnez Certificats et clés secrètes client > Clé secrète client > Nouvelle clé secrète client.
  3. Ajoutez une description pour votre clé secrète client.
  4. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée. La limite est de 24 mois.
  5. Sélectionnez Ajouter.
  6. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page. La valeur secrète est un paramètre de configuration requis pour l’exécution de DataminrPulse Data Connector.

Lien de référence :/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

ÉTAPE 5 - Attribuer le rôle de contributeur à l’application dans Microsoft Entra ID

Suivez les étapes décrites dans cette section pour attribuer le rôle :

  1. Dans le portail Microsoft Azure, accédez à Groupes de ressources, puis sélectionnez le groupe de ressources.
  2. Accédez au contrôle d’accès (IAM) dans le panneau de gauche.
  3. Cliquez sur Ajouter, puis sélectionnez Ajouter une attribution de rôle.
  4. Sélectionnez Contributeur comme rôle, puis cliquez sur Suivant.
  5. Dans Attribuer l’accès à, sélectionnez User, group, or service principal.
  6. Cliquez sur Ajouter des membres et tapez le nom de l’application que vous avez créé et sélectionnez-le.
  7. Cliquez maintenant sur Évaluer + attribuer, puis cliquez à nouveau sur Évaluer + attribuer.

Lien de référence :/azure/role-based-access-control/role-assignments-portal

ÉTAPE 6 - Choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur de données Dataminr Pulse Microsoft Sentinel, ayez à disposition l’ID et la clé primaire de l’espace de travail (valeurs pouvant être copiées à partir des informations ci-après).

Option 1 : modèle Azure Resource Manager (ARM)

Utilisez cette méthode pour le déploiement automatisé du connecteur DataminrPulse.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez votre abonnement, votre groupe de ressources, puis votre emplacement préférés.

  3. Entrez les informations ci-dessous : nom de la fonctionnalité, ID d’espace de travail, clé d’espace de travail, nom du tableau d’alertes, URL de base, ID client, clé secrète client, ID client Azure, clé secrète client Azure, ID locataire Azure, nom de groupe de ressources Azure, nom d’espace de travail Azure, ID d’abonnement à Azure, Planification, Niveau de journal

  4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  5. Cliquez sur Acheter pour déployer.

Option 2 - Déploiement manuel de fonctions Azure

Utilisez les instructions détaillées suivantes pour déployer manuellement le connecteur de données Dataminr Pulse Microsoft Sentinel à l’aide d’Azure Functions (déploiement via Visual Studio Code).

  1. Déployer une Function App

Remarque

Vous devrez préparer le code VS pour le développement d’une fonction Azure.

  1. Téléchargez le fichier Application Azure Functions. Extrayez l’archive sur votre ordinateur de développement local.

  2. Démarrez VS Code. Choisissez Fichier dans le menu principal, puis sélectionnez Ouvrir le dossier.

  3. Sélectionnez le dossier de niveau supérieur depuis les fichiers extraits.

  4. Choisissez l’icône Azure dans la barre Activité, puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction. Si vous n’êtes pas encore connecté, choisissez l’icône Azure dans la barre d’activité, puis dans la zone Azure : Fonctions, choisissez Se connecter à Azure. Si vous êtes déjà connecté, passez à l’étape suivante.

  5. Quand vous y êtes invité, indiquez les informations suivantes :

    a. Sélectionner le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.

    b. Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.

    c. Sélectionnez Créer une application de fonction dans Azure (ne choisissez pas l’option Avancé).

    d. Entrer un nom global unique pour l’application de fonction : tapez un nom valide dans un chemin d’URL. Le système vérifie que le nom que vous tapez est unique dans Azure Functions. (p. ex. DmPulseXXXXX).

    e. Sélectionnez un runtime : choisissez Python 3.8 ou une version ultérieure.

    f. Sélectionnez un emplacement pour les nouvelles ressources. Pour de meilleures performances et des coûts plus réduits, choisissez la même région que celle où se trouve Microsoft Sentinel.

  6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.

  7. Accédez au Portail Azure pour la configuration de l’application de fonction.

  1. Configurer l’application de fonction
  1. Dans l’application de fonction, sélectionnez le nom de l’application de fonction, puis sélectionnez Configuration.
  2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
  3. Ajoutez chacun des paramètres d’application suivants individuellement, avec leurs valeurs respectives (ces champs sont sensibles à la casse) : nom de la fonctionnalité, ID d’espace de travail, clé d’espace de travail, nom du tableau d’alertes, URL de base, ID client, clé secrète client, ID client Azure, clé secrète client Azure, ID locataire Azure, nom de groupe de ressources Azure, nom d’espace de travail Azure, ID d’abonnement à Azure, Planification, Niveau de journal, logAnalyticsUri (optionnel)
  • Utilisez logAnalyticsUri pour remplacer le point de terminaison de l’API Log Analytics pour le cloud dédié. Par exemple, pour le cloud public, laissez la valeur vide. Pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.
  1. Une fois tous les paramètres d’application entrés, cliquez sur Enregistrer.

ÉTAPE 7 - Étapes de post-déploiement

  1. Obtenir le point de terminaison de l’application de fonction
  1. Accédez à la Page de présentation de la fonction Azure et cliquez sur « Fonctions » dans le panneau de gauche.
  2. Cliquez sur la fonction appelée « DataminrPulseAlertsHttpStarter ».
  3. Accédez à « GetFunctionurl » et copiez l’URL de la fonction.
  4. Remplacez {functionname} par « DataminrPulseAlertsSentinelOrchestrator » dans l’URL de la fonction copiée.
  1. Pour ajouter des paramètres d’intégration dans Dataminr RTAP à l’aide de l’URL de fonction
  1. Ouvrez n’importe quel outil de requête d’API tel que Postman.
  2. Cliquez sur « + » pour créer une nouvelle requête.
  3. Sélectionnez « POST » pour la méthode de requête HTTP.
  4. Entrez l’URL préparée au point 1), dans la partie URL de la requête.
  5. Dans Corps, sélectionnez JSON brut et fournissez le corps de la requête comme indiqué ci-dessous(champ sensible à la casse) : { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Après avoir fourni tous les détails requis, cliquez sur Envoyer.
  7. Vous recevrez un ID de paramètre d’intégration dans la réponse HTTP avec un code d’état 200.
  8. Enregistrez l’ID d’intégration pour une référence ultérieure.

Maintenant, nous avons terminé avec l’ajout des paramètres d’intégration pour Dataminr RTAP. Une fois que le RTAP Dataminr envoie des données d’alerte, l’application de fonction est déclenchée et vous devez être en mesure de voir les données des alertes du tableau de l’espace de travail Dataminr Pulse dans LogAnalytics appelé « DataminrPulse_Alerts_CL ».

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.