Connecteur Derdack SIGNL4 pour Microsoft Sentinel

  • Article

En cas de défaillance de systèmes critiques ou d’incidents de sécurité, SIGNL4 établit un pont correspondant au « dernier kilomètre » à destination de votre personnel, de vos ingénieurs, de vos administrateurs informatiques et de vos employé sur le terrain. Il ajoute des alertes mobiles en temps réel à vos services, systèmes et processus en un rien de temps. SIGNL4 envoie des notifications par le biais d’envois (push), de SMS et d’appels vocaux mobiles persistants avec accusé de réception, suivi et escalade. La planification intégrée des tâches et des équipes permet d’alerter les personnes concernées au bon moment.

En savoir plus >

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics SIGNL4_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Derdack

Exemples de requête

Obtenez les informations d’alerte et d’état SIGNL4.

SecurityIncident

| where Labels contains "SIGNL4"

Instructions d’installation du fournisseur

Notes

Ce connecteur de données est principalement configuré du côté SIGNL4. Vous trouverez une vidéo de description ici : intégrer SIGNL4 à Microsoft Sentinel.

Connecteur SIGNL4 : le connecteur SIGNL4 pour Microsoft Sentinel, Azure Security Center et d’autres fournisseurs d’API de sécurité Azure Graph Security offre une intégration transparente à 2 voies avec vos solutions de sécurité Azure. Une fois ajouté à votre équipe SIGNL4, le connecteur lit les alertes de sécurité de l’API de sécurité Azure Graph Security, puis déclenche automatiquement des notifications d’alerte pour les membres de votre équipe qui sont de service. Il synchronise également l’état de l’alerte de SIGNL4 vers l’API Graph Security, de sorte que si les alertes sont reconnues ou clôturées, cet état est également mis à jour sur l’alerte de l’API Azure Graph Security liée ou le fournisseur de sécurité. Comme mentionné précédemment, le connecteur utilise principalement l’API Azure Graph Security, mais pour certains fournisseurs de sécurité, tels que Microsoft Sentinel, il utilise également des API REST dédiées depuis les solutions Azure liées.

Fonctionnalités de Microsoft Sentinel

Microsoft Sentinel est une solution SIEM cloud native de Microsoft et un fournisseur d’alertes de sécurité dans l’API Azure Graph Security. Toutefois, le niveau de détails d’alerte disponible avec l’API Graph Security est limité pour Microsoft Sentinel. Le connecteur peut donc augmenter les alertes avec des détails supplémentaires (résultats de recherche de règles d’insights) depuis l’espace de travail Log Analytics Microsoft Sentinel sous-jacent. Pour ce faire, le connecteur communique avec l’API REST Azure Log Analytics et a besoin d’autorisations (voir ci-dessous). En outre, l’application peut également mettre à jour l’état des incidents liés à Microsoft Sentinel, lorsque toutes les alertes de sécurité associées sont par exemple en cours ou résolues. Pour ce faire, le connecteur doit être membre du groupe « Contributeurs Microsoft Sentinel » dans votre abonnement Azure. Déploiement automatisé dans Azure Les informations d’identification requises pour accéder aux API précédemment spécifiées sont générées par un petit script PowerShell que vous pouvez télécharger ci-dessous. Le script effectue les tâches suivantes à votre place :

  • Il vous connecte à votre abonnement Azure (veuillez vous connecter avec un compte d’administrateur).
  • Il crée une application d’entreprise pour ce connecteur dans votre système Microsoft Entra ID, application également appelée principal de service.
  • Il crée un rôle dans votre système Azure IAM qui accorde l’autorisation de lecture/requête uniquement aux espaces de travail Azure Log Analytics.
  • Il joint l’application d’entreprise à ce rôle d’utilisateur.
  • Il joint l’application d’entreprise au rôle « Contributeurs Microsoft Sentinel ».
  • Il génère certaines données dont vous avez besoin pour configurer l’application (voir ci-dessous).

Procédure de déploiement

  1. Téléchargez le script de déploiement PowerShell ici.
  2. Vérifiez le script, les rôles, puis les étendues d’autorisation qu’il déploie pour l’inscription de la nouvelle application. Si vous ne souhaitez pas utiliser le connecteur avec Microsoft Sentinel, vous pouvez supprimer tout le code de création de rôle et d’attribution de rôle, puis l’utiliser uniquement pour créer l’inscription d’application (SPN) dans votre système Microsoft Entra ID.
  3. Exécutez le script. Enfin, il génère des informations que vous devez entrer dans la configuration de l’application de connecteur.
  4. Dans Microsoft Entra ID, cliquez sur « Inscriptions d’applications ». Recherchez l’application portant le nom « SIGNL4AzureSecurity », puis affichez ses détails.
  5. Dans le menu gauche, sélectionnez « Autorisations d’API ». Ensuite, cliquez sur « Ajouter une autorisation ».
  6. Dans le panneau qui se charge, sous « API Microsoft », cliquez sur la vignette « Microsoft Graph », puis sur « Autorisation de l’application ».
  7. Dans le tableau qui s’affiche, développez « SecurityEvents », puis cochez « SecurityEvents.Read.All » et « SecurityEvents.ReadWrite.All ».
  8. Cliquez sur « Ajouter des autorisations ».

Configuration de l’application de connecteur SIGNL4

Enfin, entrez les ID que le script a générés dans la configuration du connecteur :

  • ID de locataire Azure
  • ID d’abonnement Azure
  • ID de client (de l’application d’entreprise)
  • Clé secrète client (de l’application d’entreprise) Une fois l’application activée, elle commence à lire vos alertes de l’API Azure Graph Security.

NOTE : l’application lit initialement uniquement les alertes qui se sont produites au cours des 24 dernières heures.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.