Connettore REST del connettore Darktrace per Microsoft Sentinel
Il connettore API REST Darktrace esegue il push di eventi in tempo reale da Darktrace a Microsoft Sentinel ed è progettato per essere usato con la soluzione Darktrace per Sentinel. Il connettore scrive i log in una tabella di log personalizzata denominata "darktrace_model_alerts_CL"; Le violazioni del modello, gli eventi imprevisti dell'analista di intelligenza artificiale, gli avvisi di sistema e gli avvisi di Email possono essere inseriti. È possibile configurare filtri aggiuntivi nella pagina Configurazione del sistema Darktrace. I dati vengono inseriti in Sentinel dai master Darktrace.
Attributi del connettore
Attributo del connettore | Descrizione |
---|---|
Tabelle log Analytics | darktrace_model_alerts_CL |
Supporto delle regole di raccolta dati | Attualmente non supportato |
Supportato da | Darktrace |
Esempi di query
Cercare avvisi di test
darktrace_model_alerts_CL
| where modelName_s == "Unrestricted Test Model"
Restituire le violazioni del modello darktrace di punteggio superiore
darktrace_model_alerts_CL
| where dtProduct_s =="Policy Breach"
| project-rename SrcIpAddr=SourceIP
| project-rename SrcHostname=hostname_s
| project-rename DarktraceLink=breachUrl_s
| project-rename ThreatRiskLevel=score_d
| project-rename NetworkRuleName=modelName_s
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
| top 10 by ThreatRiskLevel desc
Restituire gli eventi imprevisti dell'analista di intelligenza artificiale
darktrace_model_alerts_CL
| where dtProduct_s == "AI Analyst"
| project-rename EventStartTime=startTime_s
| project-rename EventEndTime = endTime_s
| project-rename NetworkRuleName=title_s
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
| project-rename ThreatCategory=dtProduct_s
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
| project-rename SrcHostname=hostname_s
| project-rename DarktraceLink=url_s
| project-rename Summary=summary_s
| project-rename GroupScore=groupScore_d
| project-rename GroupCategory=groupCategory_s
| project-rename SrcDeviceName=bestDeviceName_s
Restituisce avvisi di integrità del sistema
darktrace_model_alerts_CL
| where dtProduct_s == "System Alert"
Restituire i log di posta elettronica per un mittente esterno specifico (example@test.com)
darktrace_model_alerts_CL
| where dtProduct_s == 'Antigena Email'
| where from_s == 'example@test.com'
Prerequisiti
Per integrare Darktrace Connector per l'API REST di Microsoft Sentinel, assicurarsi di avere:
- Prerequisiti darktrace: per usare questo connettore dati è necessario un master Darktrace che esegue v5.2+ . I dati vengono inviati all'API agente di raccolta dati HTTP di Monitoraggio di Azure su HTTPs da master Darktrace, pertanto è necessaria la connettività in uscita dal master Darktrace all'API REST di Microsoft Sentinel.
- Filtro dati Darktrace: durante la configurazione è possibile configurare un filtro aggiuntivo nella pagina Configurazione sistema Darktrace per limitare la quantità o i tipi di dati inviati.
- Provare la soluzione Darktrace Sentinel: è possibile ottenere il massimo da questo connettore installando la soluzione Darktrace per Microsoft Sentinel. In questo modo verranno fornite cartelle di lavoro per visualizzare i dati di avviso e le regole di analisi per creare automaticamente avvisi e eventi imprevisti provenienti da Violazioni del modello darktrace e eventi imprevisti dell'analista dell'intelligenza artificiale.
Istruzioni per l'installazione del fornitore
- Le istruzioni dettagliate sulla configurazione sono disponibili nel portale clienti Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
- Prendere nota dell'ID area di lavoro e della chiave primaria. È necessario immettere questi dettagli nella pagina Configurazione del sistema Darktrace.
Configurazione darktrace
- Seguire questa procedura nella pagina Configurazione sistema Darktrace:
- Passare alla pagina Configurazione sistema (menu > principale Amministrazione > Configurazione sistema)
- Passare alla configurazione dei moduli e fare clic sulla scheda di configurazione "Microsoft Sentinel"
- Selezionare "HTTPS (JSON)" e premere "Nuovo"
- Compilare i dettagli necessari e selezionare filtri appropriati
- Fare clic su "Verifica impostazioni avviso" per tentare l'autenticazione e inviare un avviso di test
- Eseguire una query di esempio "Cerca avvisi di test" per verificare che l'avviso di test sia stato ricevuto
Passaggi successivi
Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.