Data Koneksi or Data Pemberitahuan Dataminr Pulse (menggunakan Azure Functions) untuk Microsoft Azure Sentinel

  • Artikel

Data Data Pemberitahuan Dataminr Pulse Koneksi or membawa kecerdasan real time yang didukung AI ke Microsoft Azure Sentinel untuk deteksi dan respons ancaman yang lebih cepat.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Kode aplikasi fungsi Azure https://aka.ms/sentinel-DataminrPulseAlerts-functionapp
Tabel Log Analytics DataminrPulse_Alerts_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Dukungan Dataminr

Kueri sampel

Data Pemberitahuan Pulse Dataminr untuk semua alertTypes

DataminrPulse_Alerts_CL

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan Data Koneksi or Data Pemberitahuan Dataminr Pulse (menggunakan Azure Functions) pastikan Anda memiliki:

  • Langganan Azure: Langganan Azure dengan peran pemilik diperlukan untuk mendaftarkan aplikasi di ID Microsoft Entra dan menetapkan peran kontributor ke aplikasi dalam grup sumber daya.
  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kredensial/izin Dataminr yang diperlukan:

a. Pengguna harus memiliki ID klien Dataminr Pulse API yang valid dan rahasia untuk menggunakan konektor data ini.

b. Satu atau beberapa Daftar Pengawasan Dataminr Pulse harus dikonfigurasi di situs web Dataminr Pulse.

Instruksi penginstalan vendor

Catatan

Konektor ini menggunakan Azure Functions untuk menyambungkan ke DataminrPulse tempat log didorong melalui Dataminr RTAP dan akan menyerap log ke Microsoft Sentinel. Selain itu, konektor akan mengambil data yang diserap dari tabel log kustom dan membuat Indikator Inteligensi Ancaman ke dalam Inteligensi Ancaman Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

LANGKAH 1- Kredensial untuk ID Klien Dataminr Pulse dan Rahasia Klien

  • Dapatkan ID/kata sandi pengguna Dataminr Pulse dan ID/rahasia klien API dari Dataminr Customer Success Manager (CSM).

LANGKAH 2- Konfigurasikan Daftar Pengawasan di portal Dataminr Pulse.

Ikuti langkah-langkah di bagian ini untuk mengonfigurasi daftar pengawasan di portal:

  1. Masuk ke situs web Dataminr Pulse.

  2. Klik ikon gigi pengaturan, dan pilih Kelola Daftar.

  3. Pilih jenis Daftar Pengawasan yang ingin Anda buat (Cyber, Topic, Company, dll.) dan klik tombol Daftar Baru.

  4. Berikan nama untuk Daftar Pengawasan baru Anda, dan pilih warna sorotan untuknya, atau pertahankan warna default.

  5. Setelah selesai mengonfigurasi Daftar Pengawasan, klik Simpan untuk menyimpannya.

LANGKAH 3 - Langkah-langkah Pendaftaran Aplikasi untuk Aplikasi di MICROSOFT Entra ID

Integrasi ini memerlukan pendaftaran Aplikasi di portal Azure. Ikuti langkah-langkah di bagian ini untuk membuat aplikasi baru di ID Microsoft Entra:

  1. Masuk ke portal Azure.
  2. Mencari dan memilih Microsoft Entra ID.
  3. Di bawah Kelola, pilih Pendaftaran aplikasi > Pendaftaran baru.
  4. Masukkan Nama tampilan aplikasi Anda.
  5. Pilih Daftar untuk menyelesaikan pendaftaran aplikasi awal.
  6. Saat pendaftaran selesai, portal Microsoft Azure menampilkan panel Gambaran Umum pendaftaran aplikasi. Anda melihat ID Aplikasi (klien) dan ID Penyewa. ID klien dan ID Penyewa diperlukan sebagai parameter konfigurasi untuk eksekusi DataminrPulse Data Koneksi or.

Tautan referensi:/azure/active-directory/develop/quickstart-register-app

LANGKAH 4 - Menambahkan rahasia klien untuk aplikasi di ID Microsoft Entra

Terkadang disebut kata sandi aplikasi, rahasia klien adalah nilai string yang diperlukan untuk eksekusi DataminrPulse Data Koneksi or. Ikuti langkah-langkah di bagian ini untuk membuat Rahasia Klien baru:

  1. Di portal Microsoft Azure, di Pendaftaran aplikasi, pilih aplikasi Anda.
  2. Pilih Sertifikat & rahasia > Rahasia > klien Rahasia klien baru.
  3. Tambahkan deskripsi untuk rahasia klien Anda.
  4. Pilih kedaluwarsa untuk rahasia atau tentukan masa pakai kustom. Batasnya adalah 24 bulan.
  5. Pilih Tambahkan.
  6. Catat nilai rahasia untuk digunakan dalam kode aplikasi klien Anda. Nilai rahasia ini tidak pernah ditampilkan lagi setelah Anda meninggalkan halaman ini. Nilai rahasia diperlukan sebagai parameter konfigurasi untuk eksekusi DataminrPulse Data Koneksi or.

Tautan referensi:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

LANGKAH 5 - Tetapkan peran Kontributor ke aplikasi di ID Microsoft Entra

Ikuti langkah-langkah di bagian ini untuk menetapkan peran:

  1. Di portal Azure, Buka Grup Sumber Daya dan pilih grup sumber daya Anda.
  2. Buka Kontrol akses (IAM) dari panel kiri.
  3. Klik Tambahkan, lalu pilih Tambahkan penetapan peran.
  4. Pilih Kontributor sebagai peran dan klik berikutnya.
  5. Di Tetapkan akses ke, pilih User, group, or service principal.
  6. Klik tambahkan anggota dan ketik nama aplikasi yang telah Anda buat dan pilih.
  7. Sekarang klik Tinjau + tetapkan lalu klik lagi Tinjau + tetapkan.

Tautan referensi:/azure/role-based-access-control/role-assignments-portal

LANGKAH 6 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Azure Function terkait

PENTING: Sebelum menyebarkan konektor data Dataminr Pulse Microsoft Sentinel, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut) yang tersedia dengan mudah.

Opsi 1 - Templat Azure Resource Manager (ARM)

Gunakan metode ini untuk penyebaran otomatis konektor DataminrPulse.

  1. Klik tombol Sebarkan ke Azure di bawah ini.

    Sebarkan ke Azure

  2. Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.

  3. Masukkan informasi di bawah ini: Nama Fungsi Workspace ID Workspace Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.

  5. Klik Beli untuk menyebarkan.

Opsi 2 - Penyebaran Manual Azure Functions

Gunakan instruksi langkah demi langkah berikut untuk menyebarkan konektor data Dataminr Pulse Microsoft Sentinel secara manual dengan Azure Functions (Penyebaran melalui Visual Studio Code).

  1. Menyebarkan Aplikasi Fungsi

Catatan

Anda harus menyiapkan kode VS untuk pengembangan fungsi Azure.

  1. Unduh file Aplikasi Fungsi Azure. Ekstrak arsip ke komputer pengembangan lokal Anda.

  2. Jalankan VS Code. Pilih File di menu utama dan pilih Buka Folder.

  3. Pilih folder tingkat atas dari file yang diekstrak.

  4. Pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih tombol Sebarkan ke aplikasi fungsi. Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas, lalu di area Azure: Functions , pilih Masuk ke Azure Jika Anda sudah masuk, buka langkah berikutnya.

  5. Berikan informasi berikut pada permintaan:

    a. Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri ke folder yang berisi aplikasi fungsi Anda.

    b. Pilih Langganan: Pilih langganan yang akan digunakan.

    c. Pilih Buat Aplikasi Fungsi baru di Azure (Jangan pilih opsi Tingkat Lanjut)

    d. Masukkan nama unik global untuk aplikasi fungsi :Ketikkan nama yang valid di jalur URL. Nama yang Anda ketik akan divalidasi untuk memastikan bahwa nama tersebut bersifat unik di Azure Functions. (misalnya DmPulseXXXXXX).

    e. Pilih runtime: Pilih Python 3.8 atau lebih tinggi.

    f. Pilih lokasi untuk sumber daya baru. Untuk performa yang lebih baik dan biaya yang lebih rendah, pilih wilayah yang sama tempat Microsoft Azure Sentinel berada.

  6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

  7. Buka Portal Microsoft Azure untuk konfigurasi Aplikasi Fungsi.

  1. Mengonfigurasi Aplikasi Fungsi
  1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih Konfigurasi.
  2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.
  3. Tambahkan masing-masing pengaturan aplikasi berikut satu per satu, dengan nilai masing-masing (peka huruf besar/kecil): Nama Fungsi ID Ruang Kerja Ruang Kerja Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (opsional)
  • Gunakan logAnalyticsUri untuk mengambil alih titik akhir API analitik log untuk cloud khusus. Misalnya, untuk cloud publik, biarkan nilai kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.
  1. Setelah semua pengaturan aplikasi dimasukkan, klik Simpan.

LANGKAH 7 - Langkah-langkah Pasca Penyebaran

  1. Mendapatkan titik akhir aplikasi Fungsi
  1. Buka halaman Gambaran Umum fungsi Azure dan Klik "Fungsi" di bilah kiri.
  2. Klik fungsi yang disebut "DataminrPulseAlertsHttpStarter".
  3. Buka "GetFunctionurl" dan salin url fungsi.
  4. Ganti {functionname} dengan "DataminrPulseAlertsSentinelOrchestrator" di url fungsi yang disalin.
  1. Untuk menambahkan pengaturan integrasi di Dataminr RTAP menggunakan URL fungsi
  1. Buka alat permintaan API apa pun seperti Postman.
  2. Klik '+' untuk membuat permintaan baru.
  3. Pilih metode permintaan HTTP sebagai 'POST'.
  4. Masukkan url prepapred di titik 1), di bagian URL permintaan.
  5. Di Isi, pilih JSON mentah dan berikan isi permintaan seperti di bawah ini (peka huruf besar/kecil): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. Setelah memberikan semua detail yang diperlukan, klik Kirim.
  7. Anda akan menerima ID pengaturan integrasi dalam respons HTTP dengan kode status 200.
  8. Simpan ID Integrasi untuk referensi di masa mendatang.

Sekarang kita selesai dengan menambahkan pengaturan integrasi untuk Dataminr RTAP. Setelah Dataminr RTAP mengirim data pemberitahuan, aplikasi Fungsi dipicu dan Anda akan dapat melihat data Pemberitahuan dari Dataminr Pulse ke tabel ruang kerja LogAnalytics yang disebut "DataminrPulse_Alerts_CL".

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.