Connecteur AI Analyst Darktrace pour Microsoft Sentinel
Le connecteur Darktrace permet aux utilisateurs de connecter les brèches modèles Darktrace en temps réel avec Microsoft Sentinel, ce qui permet la création de tableaux de bord, de classeurs, de notebooks et d'alertes personnalisées pour améliorer les enquêtes. La visibilité accrue de Microsoft Sentinel sur les journaux de Darktrace permet de surveiller et d'atténuer les menaces de sécurité.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | CommonSecurityLog (Darktrace) |
| Prise en charge des règles de collecte des données | Règles de collecte de données pour la transformation de l’espace de travail |
| Pris en charge par | Darktrace |
Exemples de requête
10 premières violations de données les plus récentes
CommonSecurityLog
| where DeviceVendor == "Darktrace"
| order by TimeGenerated desc
| limit 10
Instructions d’installation du fournisseur
- Configuration de l’agent Syslog Linux
Installez et configurez l’agent Linux pour collecter vos messages Syslog au format CEF (Common Event Format) et les transférer à Microsoft Sentinel.
Notez que les données de toutes les régions seront stockées dans l’espace de travail sélectionné
1.1 Sélectionner ou créer une machine Linux
Sélectionnez ou créez une machine Linux qui va servir de proxy à Microsoft Sentinel entre votre solution de sécurité et Microsoft Sentinel. Cette machine peut se trouver dans votre environnement local, dans Azure ou dans d’autres clouds.
1.2 Installer le collecteur CEF sur la machine Linux
Installez Microsoft Monitoring Agent sur votre ordinateur Linux et configurez l’ordinateur pour écouter sur le port nécessaire et transférer les messages vers votre espace de travail Microsoft Sentinel. Le collecteur CEF collecte les messages CEF sur le port 514 TCP.
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version.
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine.
Exécutez la commande suivante pour installer et appliquer le collecteur CEF :
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Transférer les journaux d’activité au format CEF vers l'agent Syslog
Configurez Darktrace pour transférer les messages Syslog au format CEF à votre espace de travail Azure par le biais de l’agent Syslog.
Dans le Darktrace Threat Visualizer, accédez à la page Configuration du système dans le menu principal sous Admin.
Dans le menu de gauche, sélectionnez Modules et choisissez Microsoft Sentinel parmi les intégrations de flux de travail disponibles.\n 3) Une fenêtre de configuration s'ouvre. Localisez Microsoft Sentinel Syslog CEF et cliquez sur Nouveau pour afficher les paramètres de configuration, à moins qu'ils ne soient déjà exposés.
Dans le champ Configuration du serveur, entrez l’emplacement du redirecteur de journal. Vous pouvez également modifier le port de communication si vous le souhaitez. Assurez-vous que le port sélectionné est défini sur 514 et qu’il est autorisé par les pare-feu intermédiaires.
Configurez des seuils d’alerte, des décalages de temps ou des paramètres supplémentaires si nécessaire.
Passez en revue toutes les options de configuration supplémentaires que vous pouvez souhaiter activer pour modifier la syntaxe Syslog.
Activez Envoyer des alertes et enregistrez vos modifications.
- Valider la connexion
Suivez les instructions pour valider votre connectivité :
Ouvrez Log Analytics pour vous assurer que les journaux sont reçus à l’aide du schéma CommonSecurityLog.
Il faut environ 20 minutes pour que la connexion diffuse des données dans votre espace de travail.
Si les journaux ne sont pas reçus, exécutez le script de validation de connectivité suivant :
- Vérifiez que vous disposez de Python sur votre ordinateur à l’aide de la commande suivante : python -version
- Vous devez disposer d’autorisations élevées (sudo) sur votre machine
Exécutez la commande suivante pour valider votre connectivité :
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Sécuriser votre machine
Veillez à configurer la sécurité de la machine en fonction de la stratégie de sécurité de votre organisation