Connettore REST del connettore Darktrace per Microsoft Sentinel

  • Articolo

Il connettore API REST Darktrace esegue il push di eventi in tempo reale da Darktrace a Microsoft Sentinel ed è progettato per essere usato con la soluzione Darktrace per Sentinel. Il connettore scrive i log in una tabella di log personalizzata denominata "darktrace_model_alerts_CL"; Le violazioni del modello, gli eventi imprevisti dell'analista di intelligenza artificiale, gli avvisi di sistema e gli avvisi di Email possono essere inseriti. È possibile configurare filtri aggiuntivi nella pagina Configurazione del sistema Darktrace. I dati vengono inseriti in Sentinel dai master Darktrace.

Attributi del connettore

Attributo del connettore Descrizione
Tabelle log Analytics darktrace_model_alerts_CL
Supporto delle regole di raccolta dati Attualmente non supportato
Supportato da Darktrace

Esempi di query

Cercare avvisi di test

darktrace_model_alerts_CL
         
| where modelName_s == "Unrestricted Test Model"

Restituire le violazioni del modello darktrace di punteggio superiore

darktrace_model_alerts_CL
         
| where dtProduct_s =="Policy Breach"
         
| project-rename SrcIpAddr=SourceIP
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=breachUrl_s
        
| project-rename ThreatRiskLevel=score_d
         
| project-rename NetworkRuleName=modelName_s
         
| project TimeGenerated, NetworkRuleName, SrcHostname, SrcIpAddr, ThreatRiskLevel
         
| top 10 by ThreatRiskLevel desc

Restituire gli eventi imprevisti dell'analista di intelligenza artificiale

darktrace_model_alerts_CL
         
| where dtProduct_s == "AI Analyst"
         
| project-rename  EventStartTime=startTime_s
         
| project-rename EventEndTime = endTime_s
         
| project-rename NetworkRuleName=title_s
         
| project-rename CurrentGroup=externalId_g //externalId is the Current Group ID from Darktrace
         
| project-rename ThreatCategory=dtProduct_s
         
| extend ThreatRiskLevel=score_d //This is the event score, which is different from the GroupScore
         
| project-rename SrcHostname=hostname_s
         
| project-rename DarktraceLink=url_s
         
| project-rename Summary=summary_s
         
| project-rename GroupScore=groupScore_d
         
| project-rename GroupCategory=groupCategory_s
         
| project-rename SrcDeviceName=bestDeviceName_s

Restituisce avvisi di integrità del sistema

darktrace_model_alerts_CL
         
| where dtProduct_s == "System Alert"

Restituire i log di posta elettronica per un mittente esterno specifico (example@test.com)

darktrace_model_alerts_CL
          
| where dtProduct_s == 'Antigena Email'
     
| where from_s == 'example@test.com'

Prerequisiti

Per integrare Darktrace Connector per l'API REST di Microsoft Sentinel, assicurarsi di avere:

  • Prerequisiti darktrace: per usare questo connettore dati è necessario un master Darktrace che esegue v5.2+ . I dati vengono inviati all'API agente di raccolta dati HTTP di Monitoraggio di Azure su HTTPs da master Darktrace, pertanto è necessaria la connettività in uscita dal master Darktrace all'API REST di Microsoft Sentinel.
  • Filtro dati Darktrace: durante la configurazione è possibile configurare un filtro aggiuntivo nella pagina Configurazione sistema Darktrace per limitare la quantità o i tipi di dati inviati.
  • Provare la soluzione Darktrace Sentinel: è possibile ottenere il massimo da questo connettore installando la soluzione Darktrace per Microsoft Sentinel. In questo modo verranno fornite cartelle di lavoro per visualizzare i dati di avviso e le regole di analisi per creare automaticamente avvisi e eventi imprevisti provenienti da Violazioni del modello darktrace e eventi imprevisti dell'analista dell'intelligenza artificiale.

Istruzioni per l'installazione del fornitore

  1. Le istruzioni dettagliate sulla configurazione sono disponibili nel portale clienti Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. Prendere nota dell'ID area di lavoro e della chiave primaria. È necessario immettere questi dettagli nella pagina Configurazione del sistema Darktrace.

Configurazione darktrace

  1. Seguire questa procedura nella pagina Configurazione sistema Darktrace:
  2. Passare alla pagina Configurazione sistema (menu > principale Amministrazione > Configurazione sistema)
  3. Passare alla configurazione dei moduli e fare clic sulla scheda di configurazione "Microsoft Sentinel"
  4. Selezionare "HTTPS (JSON)" e premere "Nuovo"
  5. Compilare i dettagli necessari e selezionare filtri appropriati
  6. Fare clic su "Verifica impostazioni avviso" per tentare l'autenticazione e inviare un avviso di test
  7. Eseguire una query di esempio "Cerca avvisi di test" per verificare che l'avviso di test sia stato ricevuto

Passaggi successivi

Per altre informazioni, passare alla soluzione correlata nel Azure Marketplace.