Megosztás a következőn keresztül:

Digital Shadows Searchlight (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Digital Shadows adatösszekötő a REST API használatával biztosítja a Digital Shadows Searchlight incidenseinek és riasztásainak betöltését a Microsoft Sentinelbe. Az összekötő olyan információkat nyújt az incidensekről és riasztásokról, amelyek segítségével megvizsgálhatja, diagnosztizálhatja és elemezheti a lehetséges biztonsági kockázatokat és fenyegetéseket.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Alkalmazásbeállítások DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
Történelmi napok
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (nem kötelező)(adja meg a függvényalkalmazás által igényelt egyéb beállításokat)Állítsa be az DigitalShadowsURL értéket a következő értékre: https://api.searchlight.app/v1HighVariabilityClassifications exposed-credential,marked-documentÁllítsa be az ClassificationFilterOperation értéket a következő értékre: exclude függvényalkalmazás kizárásához vagy include függvényalkalmazás belefoglalásához
Azure-függvényalkalmazás kódja https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Log Analytics-tábla(ok) DigitalShadows_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Digitális árnyékok

Példák lekérdezésekre

Az összes Digital Shadows-incidens és riasztás, amelyet a legutóbb felvetett időpont szerint rendeltek el

DigitalShadows_CL 
| order by raised_t desc

Előfeltételek

A Digital Shadows Searchlight szolgáltatással való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • REST API hitelesítő adatok/engedélyek: A Digital Shadows-fiók azonosítója, titkos kódja és kulcsa szükséges. Az API-val kapcsolatos további információkért tekintse meg a dokumentációt https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik a "Digital Shadows Searchlight" szolgáltatáshoz, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS – A "Digital Shadows Searchlight" API konfigurációs lépései

A szolgáltatónak részletes lépéseket kell megadnia vagy csatolnia a "Digital Shadows Searchlight" API-végpont konfigurálásához, hogy az Azure-függvény sikeresen hitelesíthesse azt, lekérhesse annak engedélyezési kulcsát vagy jogkivonatát, és lekérhesse a berendezés naplóit a Microsoft Sentinelbe.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A "Digital Shadows Searchlight" összekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható), valamint a "Digital Shadows Searchlight" API engedélyezési kulcsával vagy tokenjével, amely könnyen elérhető.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a "Digital Shadows Searchlight" összekötő.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg a munkaterület azonosítóját, munkaterületkulcsát, API-felhasználónevét, API-jelszavát, "és/vagy egyéb kötelező mezőit".

Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját . 4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fenti feltételeket és feltételeket. 5. Az üzembe helyezéshez kattintson a Vásárlás gombra.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A következő lépésenkénti utasítások segítségével manuálisan helyezheti üzembe a "Digital Shadows Searchlight" összekötőt az Azure Functionsben.

  1. Függvényalkalmazás létrehozása

  2. Az Azure Portalon navigáljon a függvényalkalmazáshoz.

  3. Kattintson a +Létrehozás gombra a tetején.

  4. Az Alapok lapon győződjön meg arról, hogy a Futtatókörnyezet verem python 3.8-ra van állítva.

  5. Az Üzemeltetés lapon győződjön meg arról, hogy a Csomag típusa "Használat (Kiszolgáló nélküli)" értékre van állítva. 5.select Storage account

  6. "Egyéb szükséges konfigurációk hozzáadása".

  7. Szükség esetén kattintson a Létrehozás gombra.

  8. Függvényalkalmazás kódjának importálása (Zip-üzembe helyezés)

  9. Telepítse az Azure CLI-t

  10. Termináltípusból az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> , és nyomja le az Enter billentyűt. Állítsa be az értéket a ResourceGroup következő értékre: az erőforráscsoport neve. Állítsa be az értéket a FunctionApp következő értékre: az újonnan létrehozott függvényalkalmazás neve. Állítsa be az értéket a Zip File digitalshadowsConnector.zipkövetkező értékre (a zip-fájl elérési útja). Megjegyzés:- Töltse le a zip-fájlt a hivatkozásról – Függvényalkalmazás kódja

  11. A függvényalkalmazás konfigurálása

  12. A Függvényalkalmazás képernyőn kattintson a függvényalkalmazás nevére, és válassza a Konfiguráció lehetőséget.

  13. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.

  14. Adja hozzá egyenként az alábbi x (szám)" alkalmazásbeállításokat, under Name, with their respective string values (case-sensitive) under Value: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (nem kötelező) (adja hozzá a függvényalkalmazás által igényelt egyéb beállításokat) Állítsa be DigitalShadowsURL az értéket a következő értékre: https://api.searchlight.app/v1 Állítsa be a HighVariabilityClassifications következő értéket: exposed-credential,marked-document ClassificationFilterOperation érték: exclude függvényalkalmazás kizárása vagy include függvényalkalmazás belefoglalása esetén

Megjegyzés: Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, a sztringértékek helyett használja a@Microsoft.KeyVault(SecretUri={Security Identifier})sémát. További részletekért tekintse meg az Azure Key Vault referenciáinak dokumentációját .

  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.
  1. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.