Share via

Microsoft Sentinel 用の Digital Shadows Searchlight (Azure Functions を使用) コネクタ

  • [アーティクル]

Digital Shadows データ コネクタによって、REST API を使用して Digital Shadows Searchlight から Microsoft Sentinel にインシデントとアラートが取り込まれます。 コネクタによって、潜在的なセキュリティ リスクと脅威の調査、診断、分析に役立つインシデントとアラート情報が提供されます。

これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。

コネクタの属性

コネクタ属性 説明
アプリケーションの設定 DigitalShadowsAccountID
WorkspaceID
WorkspaceKey
DigitalShadowsKey
DigitalShadowsSecret
HistoricalDays
DigitalShadowsURL
ClassificationFilterOperation
HighVariabilityClassifications
FUNCTION_NAME
logAnalyticsUri (省略可能)(関数アプリに必要なその他のすべての設定を追加します) DigitalShadowsURL 値を https://api.searchlight.app/v1 に設定します。HighVariabilityClassifications 値を exposed-credential,marked-document に設定します。ClassificationFilterOperation 値を exclude 関数アプリに対しては exclude に、include 関数アプリに対しては include に設定します
Azure 関数アプリのコード https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Digital%20Shadows/Data%20Connectors/Digital%20Shadows/digitalshadowsConnector.zip
Log Analytics テーブル DigitalShadows_CL
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの Digital Shadows

クエリのサンプル

最近発生した時間順に並べ替えられたすべての Digital Shadows のインシデントとアラート

DigitalShadows_CL 
| order by raised_t desc

前提条件

Digital Shadows Searchlight (Azure Functions を使用) と統合するには、次のことを確認してください。

  • Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください
  • REST API の資格情報/アクセス許可: Digital Shadows アカウント ID、シークレットとキーが必要です。 API の詳細については、こちらのドキュメント https://portal-digitalshadows.com/learn/searchlight-api/overview/description を参照してください。

ベンダーのインストール手順

注意

このコネクタでは Azure Functions を使用して "Digital Shadows Searchlight" に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。

(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います

手順 1 - "Digital Shadows Searchlight" API の構成手順

プロバイダーによって、Azure 関数が正常に認証を行い、認可キーまたはトークンを取得し、アプライアンスのログを Microsoft Sentinel にプルできるように、"Digital Shadows Searchlight" API エンドポイントを構成するための詳細な手順のリンクが提供されます。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイします

重要: "Digital Shadows Searchlight" コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、および "Digital Shadows Searchlight" API の認可キーまたはトークンをすぐに使用できるようにしておいてください。

オプション 1 - Azure Resource Manager (ARM) テンプレート

"Digital Shadows Searchlight" コネクタの自動デプロイには、この方法を使用します。

  1. 下の [Azure へのデプロイ] ボタンをクリックします。

    Azure へのデプロイ

  2. ご希望の [サブスクリプション][リソース グループ][場所] を選択します。

  3. ワークスペース IDワークスペース キーAPI ユーザー名API パスワード、またはその他の必須フィールドに入力します。

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。 4. [上記のご契約条件に同意する] というラベルのチェックボックスをオンにします。 5. [購入] をクリックしてデプロイします。

オプション 2 - Azure Functions の手動デプロイ

次の詳細な説明に従い、Azure Functions を使用して "Digital Shadows Searchlight" コネクタを手動でデプロイします。

  1. 関数アプリを作成する

  2. Azure portal から [関数アプリ] に移動します。

  3. 上部にある [+ 作成] をクリックします。

  4. [基本] タブで、[ランタイム スタック] が python 3.8 に設定されていることを確認します。

  5. [ホスティング] タブで、[プランの種類]'従量課金 (サーバーレス)' に設定されていることを確認します。 5. ストレージ アカウントを選択する

  6. その他の必須の構成を追加します。

  7. 必要に応じてその他の希望の構成変更を行い、[作成] をクリックします。

  8. 関数アプリ コード (Zip デプロイ) をインポートする

  9. Azure CLI のインストール

  10. ターミナルで az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> とタイプし Enter キーを押します。 ResourceGroup 値をリソース グループ名に設定します。 FunctionApp 値を新しく作成した関数アプリ名に設定します。 Zip File 値を digitalshadowsConnector.zip (zip ファイルへのパス) に設定します。 注:- リンクから zip ファイルをダウンロードします - 関数アプリ コード

  11. 関数アプリを構成する

  12. [関数アプリ] 画面で、関数アプリ名をクリックし、[構成] を選択します。

  13. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。

  14. 次の 'x (個数)' アプリケーション設定のそれぞれを個別に、[名前] (それぞれの大文字と小文字を区別する文字列値) と [値] の下に追加します: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (省略可能) (関数アプリに必要なその他のすべての設定を追加します) DigitalShadowsURL 値を https://api.searchlight.app/v1 に設定します。HighVariabilityClassifications 値を exposed-credential,marked-document に設定します。ClassificationFilterOperation 値を exclude 関数アプリに対しては exclude に、include 関数アプリに対しては include に設定します

注: 上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳しくは、Azure Key Vault のリファレンス ドキュメントをご覧ください。

  • 専用クラウドの Log Analytics API エンドポイントをオーバーライドするには、logAnalyticsUri を使用します。 たとえば、パブリック クラウドではこの値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。
  1. すべてのアプリケーション設定を入力したら、[保存] をクリックします。

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。