Megosztás a következőn keresztül:

Dataminr Pulse Alerts Data Connector (az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A Dataminr Pulse Alerts Data Connector az AI-alapú valós idejű intelligenciát a Microsoft Sentinelbe továbbítja a gyorsabb fenyegetésészlelés és -reagálás érdekében.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Összekötő attribútumai

Összekötő attribútum Leírás
Azure-függvényalkalmazás kódja https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Log Analytics-tábla(ok) DataminrPulse_Alerts_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Dataminr-támogatás

Példák lekérdezésekre

Dataminr Pulse Alerts Data for all alertTypes

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Előfeltételek

A Dataminr Pulse Alerts Data Connectornal való integrálásához (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Azure-előfizetés: A tulajdonosi szerepkörrel rendelkező Azure-előfizetésnek regisztrálnia kell egy alkalmazást a Microsoft Entra-azonosítóban, és hozzá kell rendelnie a közreműködői szerepkört az erőforráscsoportbeli alkalmazáshoz.
  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Szükséges Dataminr-hitelesítő adatok/engedélyek:

a. Az adatösszekötő használatához a felhasználóknak érvényes Dataminr Pulse API-ügyfélazonosítóval és titkos kóddal kell rendelkezniük.

b. Egy vagy több Dataminr Pulse-figyelőlistát a Dataminr Pulse webhelyén kell konfigurálni.

Szállító telepítési útmutatója

Feljegyzés

Ez az összekötő az Azure Functions használatával csatlakozik ahhoz a DataminrPulse-hez, amelyben a naplók leküldése a Dataminr RTAP-on keresztül, és a naplókat a Microsoft Sentinelbe fogja betölteni. Az összekötő emellett lekéri a betöltött adatokat az egyéni naplók táblából, és fenyegetésfelderítési mutatókat hoz létre a Microsoft Sentinel Threat Intelligencebe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

1. LÉPÉS: A Dataminr Pulse ügyfélazonosítójának és titkos ügyfélkódjának hitelesítő adatai

  • Szerezze be a Dataminr Pulse felhasználói azonosítóját/jelszavát és API-ügyfélazonosítóját/titkos kódját a Dataminr Customer Success Managerből (CSM).

2. LÉPÉS: Figyelőlisták konfigurálása a Dataminr Pulse portálon.

A figyelőlisták portálon való konfigurálásához kövesse az ebben a szakaszban leírt lépéseket:

  1. Jelentkezzen be a Dataminr Pulse webhelyére.

  2. Kattintson a beállítások fogaskerék ikonra, és válassza a Listák kezelése lehetőséget.

  3. Válassza ki a létrehozni kívánt figyelőlista típusát (Cyber, Topic, Company stb.), majd kattintson az Új lista gombra.

  4. Adjon nevet az új figyelőlistának, és válasszon ki egy kiemelési színt, vagy tartsa meg az alapértelmezett színt.

  5. Ha végzett a Figyelőlista konfigurálásával, a mentéshez kattintson a Mentés gombra.

3. LÉPÉS – Az alkalmazás alkalmazásregisztrációs lépései a Microsoft Entra-azonosítóban

Ehhez az integrációhoz alkalmazásregisztrációra van szükség az Azure Portalon. Az ebben a szakaszban ismertetett lépéseket követve hozzon létre egy új alkalmazást a Microsoft Entra-azonosítóban:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg és válassza ki a Microsoft Entra ID-t.
  3. A Kezelés területen válassza Alkalmazásregisztrációk > Új regisztráció lehetőséget.
  4. Adja meg az alkalmazás megjelenítendő nevét .
  5. Válassza a Regisztráció lehetőséget a kezdeti alkalmazásregisztráció befejezéséhez.
  6. Amikor a regisztráció befejeződik, az Azure Portal megjeleníti az alkalmazásregisztráció Áttekintés paneljét. Megjelenik az alkalmazás (ügyfél) azonosítója és a bérlő azonosítója. A DataminrPulse Data Connector végrehajtásához konfigurációs paraméterekként az ügyfél-azonosító és a bérlőazonosító szükséges.

Hivatkozás: /azure/active-directory/develop/quickstart-register-app

4. LÉPÉS – Ügyfélkód hozzáadása az alkalmazáshoz a Microsoft Entra-azonosítóban

Néha alkalmazásjelszónak is nevezik, az ügyfélkulcs a DataminrPulse Data Connector végrehajtásához szükséges sztringérték. Kövesse az ebben a szakaszban leírt lépéseket egy új titkos ügyfélkód létrehozásához:

  1. Az Azure Portalon Alkalmazásregisztrációk válassza ki az alkalmazást.
  2. Válassza a Tanúsítványok > titkos > ügyfélkulcsok új ügyféltitkot>.
  3. Adja meg titkos ügyfélkódja leírását.
  4. Válasszon lejáratot a titkos kódhoz, vagy adjon meg egy egyéni élettartamot. A korlát 24 hónap.
  5. Válassza a Hozzáadás lehetőséget.
  6. Jegyezze fel a titkos kód értékét az ügyfélalkalmazás kódjában való használatra. Ez a titkos érték soha többé nem jelenik meg a lap elhagyása után. A dataminrPulse data connector végrehajtásához konfigurációs paraméterként a titkos érték szükséges.

Hivatkozás: /azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5. LÉPÉS – Közreműködői szerepkör hozzárendelése az alkalmazáshoz a Microsoft Entra-azonosítóban

A szerepkör hozzárendeléséhez kövesse az ebben a szakaszban leírt lépéseket:

  1. Az Azure Portalon nyissa meg az Erőforráscsoportot , és válassza ki az erőforráscsoportot.
  2. Nyissa meg a hozzáférés-vezérlést (IAM) a bal oldali panelen.
  3. Kattintson a Hozzáadás gombra, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.
  4. Válassza a Közreműködő szerepkört, és kattintson a következőre.
  5. A Hozzáférés hozzárendelése területen válassza a lehetőséget User, group, or service principal.
  6. Kattintson a tagok hozzáadására, és írja be a létrehozott alkalmazásnevet, és jelölje ki.
  7. Ezután kattintson a Véleményezés + hozzárendelés elemre, majd ismét a Véleményezés + hozzárendelés elemre.

Referenciahivatkozás: /azure/role-based-access-control/role-assignments-portal

6. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A Dataminr Pulse Microsoft Sentinel adatösszekötő üzembe helyezése előtt a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható) könnyen elérhető legyen.

1. lehetőség – Azure Resource Manager-sablon (ARM)

Ezzel a módszerrel automatikusan üzembe helyezhető a DataminrPulse-összekötő.

  1. Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.

    Üzembe helyezés az Azure-ban

  2. Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.

  3. Adja meg az alábbi adatokat: Függvénynév munkaterület-azonosító munkaterületkulcs alertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.

  5. Kattintson a Vásárlás gombra az üzembe helyezéshez.

2. lehetőség – Az Azure Functions manuális üzembe helyezése

A Dataminr Pulse Microsoft Sentinel adatösszekötő manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat az Azure Functionsben (Üzembe helyezés a Visual Studio Code-on keresztül).

  1. Függvényalkalmazás üzembe helyezése

Feljegyzés

Elő kell készítenie a VS-kódot az Azure-függvények fejlesztéséhez.

  1. Töltse le az Azure-függvényalkalmazás fájlját. Archívum kinyerése a helyi fejlesztőszámítógépre.

  2. Indítsa el a VS Code-ot. Válassza a Fájl lehetőséget a főmenüben, és válassza a Mappa megnyitása lehetőséget.

  3. Válassza ki a legfelső szintű mappát a kibontott fájlokból.

  4. Válassza az Azure ikont a Tevékenységsávon, majd az Azure: Függvények területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot. Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon, majd az Azure: Functions területen válassza a Bejelentkezés az Azure-ba , ha már bejelentkezett, lépjen a következő lépésre.

  5. Amikor a rendszer kéri, adja meg az alábbi információkat:

    a. Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.

    b. Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.

    c. Válassza az Új függvényalkalmazás létrehozása az Azure-ban (Ne válassza a Speciális lehetőséget)

    d. Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Írjon be egy URL-elérési úton érvényes nevet. A beírt név ellenőrzése ellenőrzi, hogy egyedi-e az Azure Functionsben. (pl. DmPulseXXXXX).

    e. Válasszon futtatókörnyezetet: Válassza a Python 3.8 vagy újabb verzióját.

    f. Válasszon egy helyet az új erőforrásokhoz. A jobb teljesítmény és az alacsonyabb költségek érdekében válassza azt a régiót, ahol a Microsoft Sentinel található.

  6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

  7. Nyissa meg az Azure Portalt a függvényalkalmazás konfigurációjához.

  1. A függvényalkalmazás konfigurálása
  1. A függvényalkalmazásban válassza ki a függvényalkalmazás nevét, majd válassza a Konfiguráció lehetőséget.
  2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
  3. Adja hozzá egyenként a következő alkalmazásbeállításokat a megfelelő értékekkel (kis- és nagybetűk megkülönböztetésével): Függvénynév-munkaterület azonosítója Munkaterületkulcs AlertsTableName BaseURL ClientId ClientSecret AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (nem kötelező)
  • A logAnalyticsUri használatával felülbírálhatja a log Analytics API-végpontot a dedikált felhőhöz. Nyilvános felhő esetén például hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.
  1. Miután megadta az összes alkalmazásbeállítást, kattintson a Mentés gombra.

7. LÉPÉS – Üzembe helyezés utáni lépések

  1. A függvényalkalmazás végpontjának lekérése
  1. Nyissa meg az Azure-függvények áttekintési oldalát, és kattintson a bal oldali panel "Függvények" elemére.
  2. Kattintson a "DataminrPulseAlertsHttpStarter" nevű függvényre.
  3. Lépjen a GetFunctionurl lapra, és másolja ki a függvény URL-címét.
  4. Cserélje le a(z) {functionname} elemet a "DataminrPulseAlertsSentinelOrchestrator" kifejezésre a másolt függvény URL-címében.
  1. Integrációs beállítások hozzáadása a Dataminr RTAP-ben a függvény URL-címével
  1. Nyisson meg minden API-kérési eszközt, például a Postmant.
  2. Kattintson a "+" gombra egy új kérés létrehozásához.
  3. Válassza a HTTP-kérési metódust "POST" néven.
  4. Adja meg az 1. pontban előre megírt URL-címet a kérelem URL-címében.
  5. A Törzs területen válassza ki a nyers JSON-t, és adja meg a kérelem törzsét az alábbiak szerint (kis- és nagybetűk megkülönböztetése): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)"", "token": "(value of code parameter from copied Function-url)" }
  6. Az összes szükséges adat megadása után kattintson a Küldés gombra.
  7. A HTTP-válaszban egy integrációs beállításazonosítót fog kapni 200-ás állapotkóddal.
  8. Integrációs azonosító mentése későbbi referenciaként.

Most elkészültünk a Dataminr RTAP integrációs beállításainak hozzáadásával. Miután a Dataminr RTAP riasztási adatokat küldött, a függvényalkalmazás aktiválódik, és a Dataminr Pulse riasztási adatait a LogAnalytics munkaterület "DataminrPulse_Alerts_CL" nevű táblájába kell látnia.

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.