Konektor Darktrace Koneksi or REST API untuk Microsoft Azure Sentinel

  • Artikel

Konektor Darktrace REST API mendorong peristiwa real time dari Darktrace ke Microsoft Sentinel dan dirancang untuk digunakan dengan Solusi Darktrace untuk Sentinel. Konektor menulis log ke tabel log kustom berjudul "darktrace_model_alerts_CL"; Pelanggaran Model, Insiden Analis AI, Pemberitahuan Sistem, dan Pemberitahuan Email dapat diserap - filter tambahan dapat diatur di halaman Konfigurasi Sistem Darktrace. Data didorong ke Sentinel dari master Darktrace.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics darktrace_model_alerts_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Darktrace

Kueri sampel

Cari Pemberitahuan Pengujian

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Mengembalikan Pelanggaran Model Darktrace Penilaian Teratas

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Mengembalikan Insiden Analis AI

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Mengembalikan Pemberitahuan Kesehatan Sistem

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Mengembalikan Log email untuk pengirim eksternal tertentu (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Prasyarat

Untuk berintegrasi dengan Darktrace Koneksi or untuk MICROSOFT Sentinel REST API pastikan Anda memiliki:

  • Prasyarat Darktrace: Untuk menggunakan Data ini Koneksi atau master Darktrace yang menjalankan v5.2+ diperlukan. Data dikirim ke API Pengumpul Data HTTP Azure Monitor melalui HTTP dari master Darktrace, oleh karena itu konektivitas keluar dari master Darktrace ke REST API Microsoft Sentinel diperlukan.
  • Filter Data Darktrace: Selama konfigurasi dimungkinkan untuk menyiapkan pemfilteran tambahan pada halaman Konfigurasi Sistem Darktrace untuk membatasi jumlah atau jenis data yang dikirim.
  • Coba Solusi Darktrace Sentinel: Anda bisa mendapatkan hasil maksimal dari konektor ini dengan menginstal Solusi Darktrace untuk Microsoft Sentinel. Ini akan menyediakan buku kerja untuk memvisualisasikan data pemberitahuan dan aturan analitik untuk membuat pemberitahuan dan insiden secara otomatis dari Pelanggaran Model Darktrace dan insiden Analis AI.

Instruksi penginstalan vendor

  1. Instruksi penyiapan terperinci dapat ditemukan di Portal Pelanggan Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Catat ID Ruang Kerja dan Kunci primer. Anda harus memasukkan detail ini di halaman Konfigurasi Sistem Darktrace Anda.

Konfigurasi Darktrace

  1. Lakukan langkah-langkah berikut pada halaman Konfigurasi Sistem Darktrace:
  2. Navigasi ke Halaman Konfigurasi Sistem (Konfigurasi Sistem Admin > Menu > Utama)
  3. Masuk ke konfigurasi Modul dan klik kartu konfigurasi "Microsoft Sentinel"
  4. Pilih "HTTPS (JSON)" dan tekan "Baru"
  5. Isi detail yang diperlukan dan pilih filter yang sesuai
  6. Klik "Verifikasi Pengaturan Pemberitahuan" untuk mencoba autentikasi dan mengirimkan pemberitahuan pengujian
  7. Jalankan kueri sampel "Cari Pemberitahuan Pengujian" untuk memvalidasi bahwa pemberitahuan pengujian telah diterima

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.