Konektor Derdack SIGNL4 untuk Microsoft Azure Sentinel
Ketika sistem penting gagal atau insiden keamanan terjadi, SIGNL4 menjelajah 'mil terakhir' ke staf, insinyur, admin TI, dan pekerja Anda di lapangan. Ini menambahkan pemberitahuan seluler real-time ke layanan, sistem, dan proses Anda dalam waktu singkat. SIGNL4 memberi tahu melalui push seluler persisten, teks SMS, dan panggilan suara dengan pengakuan, pelacakan, dan eskalasi. Penjadwalan tugas dan pergeseran terintegrasi memastikan orang yang tepat diberi tahu pada waktu yang tepat.
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
atribut Koneksi or
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | SIGNL4_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | Derdack |
Kueri sampel
Dapatkan informasi pemberitahuan dan status SIGNL4.
SecurityIncident
| where Labels contains "SIGNL4"
Instruksi penginstalan vendor
Catatan
Konektor data ini terutama dikonfigurasi di sisi SIGNL4. Anda dapat menemukan video deskripsi di sini: Mengintegrasikan SIGNL4 dengan Microsoft Sentinel.
KONEKSI OR SIGNL4: Konektor SIGNL4 untuk Microsoft Sentinel, Azure Security Center, dan penyedia AZURE Graph Security API lainnya menyediakan integrasi 2 arah yang mulus dengan solusi Azure Security Anda. Setelah ditambahkan ke tim SIGNL4 Anda, konektor akan membaca pemberitahuan keamanan dari Azure Graph Security API dan sepenuhnya otomatis dan memicu pemberitahuan pemberitahuan kepada anggota tim Anda yang bertugas. Ini juga akan menyinkronkan status pemberitahuan dari SIGNL4 ke Graph Security API, sehingga jika pemberitahuan diakui atau ditutup, status ini juga diperbarui pada pemberitahuan AZURE Graph Security API yang sesuai atau penyedia keamanan yang sesuai. Seperti disebutkan, konektor terutama menggunakan Azure Graph Security API, tetapi untuk beberapa penyedia keamanan, seperti Microsoft Sentinel, konektor ini juga menggunakan REST API khusus dari sesuai solusi Azure.
Fitur Microsoft Azure Sentinel
Microsoft Sentinel adalah solusi SIEM asli cloud dari Microsoft dan penyedia pemberitahuan keamanan di Azure Graph Security API. Namun, tingkat detail pemberitahuan yang tersedia dengan Graph Security API terbatas untuk Microsoft Sentinel. Oleh karena itu, konektor dapat menambah pemberitahuan dengan detail lebih lanjut (hasil pencarian aturan wawasan), dari ruang kerja Analitik Log Microsoft Sentinel yang mendasarinya. Untuk dapat melakukannya, konektor berkomunikasi dengan Azure Log Analytics REST API dan membutuhkan izin yang sesuai (lihat di bawah). Selain itu, aplikasi juga dapat memperbarui status insiden Microsoft Sentinel, ketika semua pemberitahuan keamanan terkait sedang berlangsung atau diselesaikan. Agar dapat melakukannya, konektor harus menjadi anggota grup 'Kontributor Microsoft Azure Sentinel' di Langganan Azure Anda. Penyebaran otomatis di Azure Info masuk yang diperlukan untuk mengakses API sebelumnya, dihasilkan oleh skrip PowerShell kecil yang dapat Anda unduh di bawah ini. Skrip melakukan tugas-tugas berikut untuk Anda:
- Log masuk ke Langganan Azure Anda (silakan masuk dengan akun administrator)
- Membuat aplikasi perusahaan baru untuk konektor ini di ID Microsoft Entra Anda, juga disebut sebagai perwakilan layanan
- Membuat peran baru di Azure IAM Anda yang memberikan izin baca/kueri hanya ke ruang kerja Azure Log Analytics.
- Menggabungkan aplikasi perusahaan ke peran pengguna tersebut
- Menggabungkan aplikasi perusahaan ke peran 'Kontributor Microsoft Sentinel'
- Menghasilkan beberapa data yang perlu Anda konfigurasikan aplikasi (lihat di bawah)
Prosedur penyebaran
- Unduh skrip penyebaran PowerShell dari sini.
- Tinjau skrip dan peran serta cakupan izin yang disebarkannya untuk pendaftaran aplikasi baru. Jika Anda tidak ingin menggunakan konektor dengan Microsoft Azure Sentinel, Anda dapat menghapus semua kode pembuatan peran dan penetapan peran dan hanya menggunakannya untuk membuat pendaftaran aplikasi (SPN) di ID Microsoft Entra Anda.
- Jalankan skrip. Di akhir itu menghasilkan informasi yang perlu Anda masukkan dalam konfigurasi aplikasi konektor.
- Di MICROSOFT Entra ID, klik 'Pendaftaran Aplikasi'. Temukan aplikasi dengan nama 'SIGNL4AzureSecurity' dan buka detailnya
- Di bilah menu sebelah kiri klik 'Izin API'. Lalu klik 'Tambahkan izin'.
- Pada bilah yang dimuat, di bawah 'Microsoft API' klik petak peta 'Microsoft Graph', lalu klik 'Izin aplikasi'.
- Dalam tabel yang ditampilkan perluas 'SecurityEvents' dan periksa 'SecurityEvents.Read.All' dan 'SecurityEvents.ReadWrite.All'.
- Klik 'Tambahkan izin'.
Mengonfigurasi aplikasi konektor SIGNL4
Terakhir, masukkan ID, bahwa skrip telah dihasilkan dalam konfigurasi konektor:
- ID Penyewa Azure
- ID Langganan Azure
- ID Klien (dari aplikasi perusahaan)
- Rahasia Klien (aplikasi perusahaan) Setelah aplikasi diaktifkan, aplikasi akan mulai membaca pemberitahuan Azure Graph Security API Anda.
CATATAN: Ini awalnya hanya akan membaca pemberitahuan yang telah terjadi dalam 24 jam terakhir.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk